Apache Tomcat’in güvenliği yıllar içinde önemli ölçüde iyileşmiş olsa da, bu iyileştirilemeyeceği anlamına gelmez. Apache Tomcat, kutudan çıktığı gibi inanılmaz işlevsellik ile gelen ücretsiz bir açık kaynaklı Java uygulama sunucusudur. Bu makalede, siber güvenlik kursu uzmanlar, Apache Tomcat sunucusunun güvenliğini sağlamanın çeşitli yollarında rehberlik edecek.
Bu makalede tartışılan yöntemler, geliştirme sırasında ihtiyaç duyabileceğiniz veya gerekmeyebileceği için üretim ortamı için en uygun yöntemdir.
Apache Tomcat sunucu güvenliğini iyileştirmenin kolay bir yolu, sunucu başlığını HTTP yanıtından kaldırmaktır. Banner açılırsa, kullandığınız Tomcat sürümünü yayınlayabilir, bu da sunucu ve bilinenler hakkında bilgi toplamayı kolaylaştırır. istismarlar.
Tomcat’in en son sürümlerinde (Tomcat 8 ve üzeri), sunucu banner’ı varsayılan olarak devre dışıdır, siber güvenlik kursu uzmanından bahseder.
Ancak, Tomcat’in daha eski bir sürümünü kullanıyorsanız, bunu manuel olarak yapmanız gerekebilir. Tomcat kurulum dizininin conf dizinindeki server.xml dosyasını düzenleyin. Bağlayıcı Bağlantı Noktası bloğunu bulun ve sunucu kaydını silin
Önceki:
Sonrasında:
Dosyayı kaydedin ve Apache Tomcat hizmetini yeniden başlatın.
Tomcat’i asla ayrıcalıklı bir kullanıcı adına çalıştırmayın. Bu, Tomcat hizmetinin hacklenmesi durumunda sunucuyu korumanıza izin verecektir.
Tomcat hizmetini çalıştırmak için bir kullanıcı oluşturun.
sudo useradd -m -U -d /home/tomcat -s $ (which false) tomcat
Son olarak, oluşturulan Tomcat kullanıcısının ayrıcalıklarını değiştirin.
chown -R tomcat: tomcat / home / tomcat
Apache Tomcat, varsayılan uygulama seçenekleriyle birlikte gelir. Siber güvenlik kursu uzmanı, en iyi risk azaltma önleminin bunları webapps kataloğundan kaldırmak olduğunu açıklıyor.
Aşağıdaki gibi uygulamaları silebilirsiniz:
- KÖK – Varsayılan olarak Tomcat sayfası
- Dokümanlar – Tomcat belgeleri
- Örnekler – Test Hizmetleri
SSL, HTTPS aracılığıyla sunucu ve istemci arasında veri aktarımı yapmanızı sağlar. SSL’yi Tomcat’te kullanmak ve böylece güvenliği artırmak için, Connector bağlantı noktasında server.xml dosyasını ve SSLEnabled yönergesini şu şekilde düzenleyin:
Yukarıdaki giriş, SSL sertifikasına sahip bir Anahtar Deponuz olduğunu gösteriyor.
Siber güvenlik uzmanlarına göre, Apache Tomcat sunucusunu bir güvenlik yöneticisi kullanarak çalıştırmak iyi bir uygulamadır. Bu, tarayıcıda doğrulanmamış uygulamaların başlatılmasını engeller.
Aşağıda sonuca bir örnek verilmiştir:
To do this, use the catalina script with the –security flag.Using CATALINA_BASE: /home/debian/apache-tomcat-10.0.10Using CATALINA_HOME: /home/debian/apache-tomcat-10.0.10Asing CATAL.
Tehdit aktörleri, çerezleri ve yüklü uygulamaların oturumlarını da değiştirebilir.
Bu sorunu çözmek için web.xml dosyasını düzenleyin ve aşağıdaki girdileri session-config’e ekleyin.
true
true
Tomcat’i korumanın başka bir yolu da kapatma prosedürünü değiştirmektir.
Bu, Tomcat hizmetlerinin davetsiz misafirler tarafından kapatılmasını önlemeye yardımcı olacaktır.
Tomcat, 8005 numaralı bağlantı noktası kullanılarak telnet üzerinden kapatılabilir ve kapatma komutu gönderilebilir:
$ telnet localhost 8005Trying 127.0.0.1...Connected to localhost.Escape character is '^]'.shutdownConnection closed by foreign host.
Bunu düzeltmek için server.xml dosyasını düzenleyin ve sonraki bloğu silin.
Kapatma komutunu kaydetmek istiyorsanız, varsayılan olarak bağlantı noktasını ve komutu değiştirin.
Örneğin:
Çözüm
Bu makalede, sunucularınızın güvenliğini sağlamak için Apache Tomcat’te yapabileceğiniz bazı gerekli ayarlar açıklanmıştır. Lütfen tartışılan yöntemlerin, eğitim sırasında öğretilen Apache Tomcat sunucularını korumak için alabileceğiniz birçok önlemden sadece birkaçı olduğunu unutmayın. siber güvenlik kursları.
Siber güvenlik ve kötü amaçlı yazılım araştırmacısıdır. Bilgisayar Bilimi okudu ve 2006 yılında siber güvenlik analisti olarak çalışmaya başladı. Aktif olarak siber güvenlik araştırmacısı olarak çalışıyor. Ayrıca farklı güvenlik şirketlerinde çalıştı. Günlük işi, yeni siber güvenlik olayları hakkında araştırma yapmayı içerir. Ayrıca kurumsal güvenlik uygulaması konusunda derin bir bilgi düzeyine sahiptir.