Tomcat セキュリティ仕様 (Tomcat セキュリティ強化と仕様)

Tomcat セキュリティ仕様 (Tomcat セキュリティ強化と仕様)

tomcat はオープンソースの Web サーバーです。Tomcat ベースの Web は実行効率が高く、一般的なハードウェア プラットフォームでスムーズに実行できます。そのため、Web マスターの間で非常に人気があります。ただし、デフォルト構成では、特定のセキュリティ リスクがあり、悪意のある攻撃を受ける可能性があります。セキュリティ強化のいくつかを以下に示します。

バージョンセキュリティ

最新の安定バージョンにアップグレードします。安定性上の理由から、バージョン間のアップグレードは推奨されません。

サービス降格

Tomcatを起動する際にはrootユーザーを使用しないでください。通常のユーザーを使用してTomcatを起動してください。クラスタ内のユーザー名はUIDと統一されています。

ポート保護

1 Tomcat 管理ポート 8005 を変更します。このポートには Tomcat サービスをシャットダウンする権限がありますが、ポートを 8000 から 8999 の間で設定し、シャットダウン コマンドを変更する必要があります。
2 Tomcat がイントラネット内に配置されている場合、Tomcat サービスのリスニング アドレスはイントラネット アドレスになります。
3 デフォルトの ajp 8009 ポートを変更して競合の可能性を低くします (1024 より大きい)。ただし、ポートは 8000 から 8999 の間で構成する必要があります。

管理端末を無効にする

1 デフォルトの$CATALINA_HOME/conf/tomcat-users.xmlファイルを削除し、Tomcatを再起動すると新しいファイルが自動的に生成されます。
2 $CATALINA_HOME/webappsからダウンロードしたすべてのデフォルトディレクトリとファイルを削除します。
3 TomcatアプリケーションルートディレクトリをTomcatインストールディレクトリ以外のディレクトリに設定する

Tomcatのバージョン情報を非表示にする

この情報の表示は、$CATALINA_HOME/lib ディレクトリに保存され、catalina.jar という名前の jar パッケージによって制御されます。
jar xf コマンドを使用して jar パッケージを解凍すると、META-INF と org の 2 つのディレクトリが生成されます。
org/apache/catalina/util/ServerInfo.propertiesファイルのserverinfoフィールドを変更して、Tomcatのバージョン情報を変更します。

自動戦争展開を無効にする

デフォルトでは、Tomcat は war パッケージのホット デプロイメントを有効にします。トロイの木馬やその他の悪意のあるプログラムの埋め込みを防ぐために、自動展開をオフにする必要があります。

インスタンスを変更します。

<ホスト名="localhost" appBase=""
unpackWARs="false" autoDeploy="false">

カスタムエラーページ

conf/web.xml を編集し、</web-app> タグの上に次のコンテンツを追加します。

<エラーページ>
  <エラーコード>404</エラーコード>
  <場所>/404.html</場所>
</エラーページ>
<エラーページ>
  <エラーコード>500</エラーコード>
  <場所>/500.html</場所>
</エラーページ>

ディレクトリファイルが自動的にリストされないように保護する

conf/web.xmlファイルを編集する

<サーブレット>
    <サーブレット名>デフォルト</サーブレット名>
    <サーブレットクラス>org.apache.catalina.servlets.DefaultServlet</サーブレットクラス>
    <初期化パラメータ>
      <param-name>デバッグ</param-name>
      <パラメータ値>0</パラメータ値>
    </init-param>
    <初期化パラメータ>
      <param-name>リスト</param-name>
      <param-value>false</param-value>
    </init-param>
    <起動時に読み込む>1</起動時に読み込む>
  </サーブレット>
 
<param-value>false</param-value>

ここで、falseはリストに表示しないことを意味し、trueはリストに表示することを許可することを意味します

複数の仮想ホスト

Tomcat の仮想ホストを使用しないことを強く推奨します。サイトごとに 1 つのインスタンスを使用することをお勧めします。つまり、複数の仮想ホストを含​​む 1 つの Tomcat を起動する代わりに、複数の Tomcat を起動することができます。
Tomcat はマルチスレッドでメモリを共有するため、仮想ホスト内のいずれかのアプリケーションがクラッシュすると、すべてのアプリケーションに影響します。複数のインスタンスを使用すると過度のオーバーヘッドが発生しますが、少なくともアプリケーションの分離とセキュリティは確保されます。

スクリプト権限の回復

CATALINAHOME/binディレクトリ内のstart.sh、catalina.sh、shutdown.shの実行権限を制御します。
chmod −R744 CATALINA_HOME/bin/*

Tomcatとプロジェクトユーザーを分ける

Tomcat が Web シェル プログラムに埋め込まれるのを防ぐには、プロジェクト ファイルを変更します。したがって、Tomcat をプロジェクト所有者から分離して、ハッキングされた場合でもプロジェクト ファイルを作成および編集できないようにする必要があります。

サーバーヘッドの書き換え

HTTPコネクタ構成にサーバー構成server="server_name"を追加します。デフォルトはApache-Copyote/1.1です。
設定によりアクセスのIPソースを制限する

<ホスト名="localhost" appBase="/data/www/tomcat_webapps" unpackWARs="true" autoDeploy="false">
<Valve クラス名="org.apache.catalina.valves.RemoteAddrValve" 許可="192.168.1.10,192.168.1.30,192.168.2.*" 拒否=""/>
<Valve クラス名="org.apache.catalina.valves.RemoteHostValve" allow="www.test.com,*.test.com" deny=""/>
</ホスト>

アクセス ログ形式の仕様<br /> Tomcat のデフォルトのアクセス ログで Referer レコードと User-Agent レコードを有効にする

標準構成:

<Valve クラス名="org.apache.catalina.valves.AccessLogValve"
ディレクトリ="logs" プレフィックス="localhost_access_log"
サフィックス=".txt" パターン="%h %l %u %t &quot;%r&quot; %s %b %{Referer}i %{User-Agent}i %D"
解決ホスト="false" />

Tomcat は不正な HTTP メソッドを無効化します

web.xmlファイルの設定を編集する

org.apache.catalina.servlets.DefaultServlet の <init-param> 
<param-name>読み取り専用</param-name> 
<param-value>true</param-value> 
</init-param>

param-value が true の場合、削除および配置操作は許可されません。

tomcat ユーザーにリモート管理権限がある<br /> tomcat-users.xml で、次のように tomcat ユーザーのロール値を変更してマネージャーを含めます。

<user ユーザー名="tomcat" パスワード="***"
役割="マネージャー">

tomcat の自動ログアウト時間は 30 秒以内です<br /> server.xml を編集し、次のように自動ログアウト時間を 30 秒に変更します。

<コネクタ 
ポート="8080" 最大Httpヘッダーサイズ="8192" 最大スレッド数="150" 
最小スペアスレッド数="25" 最大スペアスレッド数="75", 
enableLookups="false" リダイレクトポート="8443" 受け入れカウント="100" 
接続タイムアウト="30000" アップロードタイムアウトを無効に="true" />

Tomcat は、マシンのパフォーマンスとビジネス ニーズに基づいて、接続の最小数と最大数を設定する必要があります。

server.xmlファイルを編集します。

例は次のとおりです: <Connector port="8080" minSpareThreads="25" .../>
minSpareThreads="25" は、誰も使用していなくても、待機用にこれだけの空きスレッドが開かれることを意味します。実際の状況に基づいて接続数を設定してください。

server.xmlファイルを編集します。
例は次のとおりです: <Connector port="8080" maxThreads="150"……/>
maxThreads="150" は、最大 150 の接続を同時に処理できることを意味します。実際の状況に基づいて接続数を構成します。

Tomcat 構成アクセス ログ<br /> server.xml を変更し、次のコンテンツのコメントを解除します。

<Valve クラス名="org.apache.catalina.valves.AccessLogValve" 
ディレクトリ=”logs” プレフィックス=”localhost_access_log.” サフィックス=”.txt” 
パターン="common" resloveHosts="false"/>

Tomcat エラーページリダイレクトを構成する

web.xml ファイルを編集し、次のように変更します。

<エラーページ> 
<エラーコード>404</エラーコード> 
<場所>/noFile.htm</場所> 
</エラーページ> 
………… 
<エラーページ> 
<例外タイプ>java.lang.NullPointerException</例外タイプ>
<場所>/error.jsp</場所> 
</エラーページ>

この記事はこれで終わりです。123WORDPRESS.COM の編集者が後ほどさらに詳しい情報をお伝えします。

以下もご興味があるかもしれません:
  • Tomcat セキュリティ設定 win2003 tomcat 権限制限
  • Tomcat サーバーのセキュリティ設定
  • Tomcatのセキュリティ構成とパフォーマンスの最適化の詳細な説明
  • Web セキュリティ - Tomcat は WebDAV を無効にしたり、不要な HTTP メソッドを禁止したりします
  • Tomcatサーバーのセキュリティ設定方法

<<:  TypeScript をインストール、使用、自動コンパイルする方法に関するチュートリアル

>>:  MySQL でデータをクエリし、条件に基づいて別のテーブルに更新する方法の例

推薦する

Linuxでブーストライブラリをインストールするための完全な手順

序文Boost ライブラリは、標準ライブラリのバックアップとして機能し、C++ 標準化プロセスの開発...

4 つの主要な SQL ランキング関数 ROW_NUMBER、RANK、DENSE_RANK、NTILE の使用方法の紹介

1. ROW_NUMBER()定義: ROW_NUMBER() 関数は、select によってクエリ...

Vue プロジェクトで mock を使用する方法をご存知ですか?

目次最初のステップ: 2 番目のステップは、request.js で関連する構成を行うことです。re...

Docker を使用してコンテナ内のルート パスワードを変更する方法

1. dockerfileを作成するときにsshパスワードを設定するには、次のコマンドを使用します。...

CSS3実践手法のまとめ(推奨)

1. 丸い境界線: CSSコードコンテンツをクリップボードにコピー境界線の半径: 4px ; 2....

OracleデータをMySQLデータベースに抽出する実装プロセス

Oracle データベースから MySQL データベースへの移行では、Oracle データベース モ...

vue3で注意すべき2つのポイントを詳しく解説:セットアップ

目次vue2の場合vue3ではセットアップに関する注意事項セットアップライフサイクルは、before...

Msyql トランザクション分離について知っておくべきこと

トランザクションとは何ですか?トランザクションは、データベース管理システムの実行プロセスにおける論理...

ブラウザ間の hr 区切り文字の違い

Webページを作るときに、区切り線hrを使うことがありますが、IE6やIE7で表示するのは非常に苦痛...

JavaScript データ プロキシとイベントの詳細な分析

目次データブローカーとイベントObject.defineProperty メソッドのレビューデータブ...

Mysql GTID Mha 設定方法

Gtid + Mha + Binlog サーバー構成: 1: テスト環境OS: CentOS 6.5...

Windows10にmysql5.7.18をインストールするチュートリアル

このチュートリアルでは、MySQL 5.7.18のインストールと設定方法を参考までに紹介します。具体...

CSS3 で複数のカスタムフォントを導入する

今日、HTML に問題を発見しました。多くのデフォルト フォントが提供されていますが、「Bold」、...

React NativeのScrollViewプルダウンリフレッシュ効果

この記事では、React Native ScrollViewのプルダウンリフレッシュ効果の具体的なコ...

Linux の一般的な Java プログラム起動スクリプトのコード例

シェルを起動する頻度は非常に低いですが。 。 。しかし、書くたびに、多くの jar ファイル パスを...