Apache Tomcat हार्डनिंग एंड सिक्योरिटी गाइड

सर्वश्रेष्ठ प्रथाओं के साथ Apache Tomcat सर्वर को सख्त और सुरक्षित करने के लिए एक व्यावहारिक मार्गदर्शिका.


टॉमकैट सबसे लोकप्रिय सर्वलेट और जेएसपी कंटेनर सर्वरों में से एक है। निम्नलिखित कुछ उच्च यातायात वेबसाइटों द्वारा इसका उपयोग किया जाता है:

  • LinkedIn.com
  • Dailymail.co.uk
  • Comcast.net
  • Wallmart.com
  • Reuters.com
  • Meetup.com
  • Webs.com

नीचे चार्ट जावा एप्लिकेशन सर्वर में टॉमकैट की बाजार स्थिति को दर्शाता है.

स्रोत: प्लमब्र

तकनीकी रूप से, आप सीधे साइट अनुरोधों की सेवा करने के लिए फ्रंट-एंड सर्वर के रूप में टॉमकैट का उपयोग कर सकते हैं। हालाँकि, उत्पादन के माहौल में, आप कुछ वेब सर्वर जैसे कि Apache, Nginx को फ्रंट-एंड के रूप में उपयोग कर सकते हैं ताकि Tomcat के अनुरोधों को रूट किया जा सके।.

अनुरोधों को संभालने के लिए वेब सर्वर का उपयोग करना प्रदर्शन तथा सुरक्षा लाभ। यदि आप अपाचे HTTP को फ्रंट-एंड वेब सर्वर के रूप में उपयोग कर रहे हैं, तो आपको इसे सुरक्षित बनाने पर भी विचार करना चाहिए.

डिफ़ॉल्ट टॉमकैट कॉन्फ़िगरेशन संवेदनशील जानकारी को उजागर कर सकता है, जो हैकर को एप्लिकेशन पर हमले के लिए तैयार करने में मदद करता है.

टॉमकैट 7.x, यूनिक्स पर्यावरण पर परीक्षण किए गए हैं.

दर्शक

यह मिडलवेयर एडमिनिस्ट्रेटर, एप्लिकेशन सपोर्ट, सिस्टम एनालिस्ट या किसी काम करने वाले या टॉमकैट हार्डनिंग एंड सिक्योरिटी को जानने के लिए उत्सुक के लिए बनाया गया है।.

तोमकैट का अच्छा ज्ञान & UNIX कमांड अनिवार्य है.

टिप्पणियाँ

सत्यापन के लिए HTTP हेडर की जांच करने के लिए हमें कुछ टूल की आवश्यकता होती है। ऐसा करने के दो तरीके हैं.

अगर परीक्षण इंटरनेट का सामना करना पड़ आवेदन, तो आप कार्यान्वयन को सत्यापित करने के लिए निम्न HTTP शीर्ष लेख उपकरण का उपयोग कर सकते हैं.

और ए के लिए इंट्रानेट आवेदन, आप Google Chrome, Firefox डेवलपर टूल का उपयोग कर सकते हैं.

एक सर्वोत्तम अभ्यास के रूप में, आपको एक लेना चाहिए बैकअप किसी भी फाइल को आप संशोधित करने वाले हैं.

हम Tomcat इंस्टॉलेशन फ़ोल्डर को कॉल करेंगे $ बिल्ला इस दिशा-निर्देश के दौरान.

चलो सख्त हो जाओ & प्रक्रियाओं को सुरक्षित करना.

सर्वर बैनर निकालें

HTTP हैडर से सर्वर बैनर हटाना हार्डनिंग के रूप में करने वाली पहली चीजों में से एक है.

सर्वर बैनर होने से आपके द्वारा उपयोग किए जा रहे उत्पाद और संस्करण का खुलासा होता है और सूचना रिसाव की भेद्यता हो जाती है.

डिफ़ॉल्ट रूप से, टॉमकैट द्वारा परोसा गया एक पेज इस तरह दिखाई देगा.

सर्वर हेडर से उत्पाद और संस्करण विवरण को छिपाने दें.

  • $ Tomcat / conf फ़ोल्डर में जाएं
  • Vi का उपयोग करके server.xml संशोधित करें
  • कनेक्टर पोर्ट पर निम्न जोड़ें

सर्वर = “”

Ex: –

  • फ़ाइल सहेजें और Tomcat को पुनरारंभ करें। अब, जब आप किसी एप्लिकेशन को एक्सेस करते हैं, तो आपको सर्वर हेडर के लिए एक रिक्त मान देखना चाहिए.

एक सुरक्षा प्रबंधक के साथ टॉमकैट शुरू करना

सुरक्षा प्रबंधक आपके ब्राउज़र में चल रहे एक अविश्वसनीय एपलेट से आपकी सुरक्षा करता है.

एक सुरक्षा प्रबंधक के साथ टॉमकैट चलाना एक के बिना चलने से बेहतर है। टॉमकैट पर उत्कृष्ट प्रलेखन है टोमाकट सुरक्षा प्रबंधक.

इसके बारे में अच्छी बात यह है कि आपको किसी भी कॉन्फ़िगरेशन फ़ाइल को बदलने की आवश्यकता नहीं है। यह उसी तरह है जैसे आप स्टार्टअप.श फ़ाइल को निष्पादित करते हैं.

आपको बस इतना करना है कि -सुरक्षा तर्क के साथ टॉमकैट शुरू करें.

[[ईमेल संरक्षित] बिन] # ./startup.sh -security
CATALINA_BASE का उपयोग: / ऑप्ट / टॉमकैट
CATALINA_HOME का उपयोग करना: / ऑप्ट / टॉमकैट
CATALINA_TMPDIR का उपयोग: / ऑप्ट / टॉमकैट / अस्थायी
JRE_HOME: / usr का उपयोग करना
CLASSPATH का उपयोग कर: /opt/tomcat/bin/bootstrap.jar:/opt/tomcat/bin/tomcat-juli.jar
सुरक्षा प्रबंधक का उपयोग करना
टामकट शुरू हुआ.
[[ईमेल संरक्षित] बिन] #

SSL / TLS सक्षम करें

क्लाइंट और टॉमकैट के बीच डेटा की सुरक्षा के लिए HTTPS पर वेब अनुरोधों की सेवा आवश्यक है। HTTPS के माध्यम से अपने वेब एप्लिकेशन को सुलभ बनाने के लिए, आपको SSL प्रमाणपत्र लागू करना होगा.

मान लें, आपके पास पहले से ही प्रमाणपत्र के साथ किस्टोर तैयार है, तो आप सर्वर में नीचे पंक्ति जोड़ सकते हैं। कनेक्टर पोर्ट सेक्शन के तहत xml फ़ाइल.

SSLEnabled ="सच" योजना ="https" keystoreFile ="SSL / bloggerflare.jks" keystorePass ="चंदन" clientAuth ="असत्य" sslProtocol ="टीएलएस"

अपने साथ Keystore फ़ाइल नाम और पासवर्ड बदलें.

यदि आपको कीस्टोर की सहायता की आवश्यकता है & CSR प्रक्रिया, फिर इस गाइड का संदर्भ लें.

HTTPS लागू करें

यह तब लागू होता है जब आप SSL सक्षम होते हैं। यदि नहीं, तो यह एप्लिकेशन को तोड़ देगा.

एक बार जब आप एसएसएल को सक्षम कर लेते हैं, तो टॉम्बैट सर्वर सर्वर के लिए उपयोगकर्ता के बीच सुरक्षित संचार के लिए एचटीटीपीएस के सभी HTTP अनुरोधों को पुनर्निर्देशित करने के लिए मजबूर करना अच्छा होगा।.

  • $ Tomcat / conf फ़ोल्डर में जाएं
  • Vi का उपयोग करके web.xml संशोधित करें
  • वाक्य रचना से पहले निम्नलिखित जोड़ें

संरक्षित संदर्भ
/ *

गोपनीय

  • फ़ाइल सहेजें और Tomcat को पुनरारंभ करें

सुरक्षित जोड़ें & कुकी को HttpOnly झंडा

एक सुरक्षित कुकी होने के बिना वेब एप्लिकेशन सत्र और कुकीज़ को चुराना या हेरफेर करना संभव है। यह एक ध्वज है जो प्रतिक्रिया शीर्षलेख में अंतःक्षिप्त है.

यह web.xml फ़ाइल के सत्र-कॉन्फ़िगर अनुभाग में रेखा के नीचे जोड़कर किया जाता है

सच
सच

कॉन्फ़िगरेशन स्क्रीनशॉट:

फ़ाइल को सहेजें और HTTP प्रतिक्रिया हेडर की जांच के लिए टॉमकैट को पुनरारंभ करें.

गैर-विशेषाधिकार प्राप्त खाते से टॉमकैट चलाएं

टॉमकैट के लिए एक अलग गैर-विशेषाधिकार प्राप्त उपयोगकर्ता का उपयोग करना अच्छा है। किसी भी खाते से समझौता होने की स्थिति में चल रही अन्य सेवाओं की सुरक्षा के लिए यह विचार है.

  • एक यूनिक्स उपयोगकर्ता बनाएं, मान लें कि टॉमकैट है

useradd टॉमकैट

  • यदि चल रहा है तोकैट बंद करो
  • $ $ बकरी के मालिक को उपयोगकर्ता tomcat में बदलें

chown -R tomcat: टॉमकैट tomcat /

टॉमकैट शुरू करें और यह सुनिश्चित करें कि टॉमकैट उपयोगकर्ता के साथ चल रहा है

डिफ़ॉल्ट / अवांछित एप्लिकेशन निकालें

डिफ़ॉल्ट रूप से, टॉमकैट निम्नलिखित वेब अनुप्रयोगों के साथ आता है, जिन्हें उत्पादन परिवेश में आवश्यक हो सकता है या नहीं.

आप इसे साफ रखने और टॉमकैट डिफ़ॉल्ट एप्लिकेशन के साथ किसी भी ज्ञात सुरक्षा जोखिम से बचने के लिए उन्हें हटा सकते हैं.

  • रूट – डिफ़ॉल्ट स्वागत पृष्ठ
  • डॉक्स – टॉमकैट प्रलेखन
  • उदाहरण – JSP और प्रदर्शन के लिए सर्वलेट्स
  • प्रबंधक, मेजबान-प्रबंधक – टोमैट प्रशासन

वे $ tomcat / webapps फ़ोल्डर के अंतर्गत उपलब्ध हैं

[[ईमेल संरक्षित] webapps] # ls- टाइप
drwxr-xr-x 14 tomcat tomcat 4096 Sep 29 15:26 डॉक्स
drwxr-xr-x 7 tomcat tomcat 4096 Sep 29 15:26 उदाहरण
drwxr-xr-x 5 tomcat tomcat 4096 Sep 29 15:26 मेजबान-प्रबंधक
drwxr-xr-x 5 tomcat tomcat 4096 Sep 29 15:26 मैनेजर
drwxr-xr-x 3 tomcat tomcat 4096 Sep 29 15:26 ROOT
[[ईमेल संरक्षित] webapps] #

SHUTDOWN पोर्ट और कमांड बदलें

डिफ़ॉल्ट रूप से, टॉमकैट को 8005 पोर्ट पर बंद करने के लिए कॉन्फ़िगर किया गया है.

क्या आप जानते हैं कि आप आईपी: पोर्ट: पोर्ट और कमांड जारी करके टॉमकैट उदाहरण को बंद कर सकते हैं?

चंदन # टेलनेट लोकलहोस्ट 8005
कोशिश कर रहा है :: 1 … टेलनेट:
पते से कनेक्ट करें :: 1:
कनेक्शन से इनकार कर दिया 127.0.0.1 की कोशिश कर रहा है…
लोकलहोस्ट से जुड़ा.
पलायन चरित्र ‘^] है.
विदेशी होस्ट द्वारा बंद किया गया कनेक्शन.
चंदन #

खतरनाक!

आप देखते हैं, डिफ़ॉल्ट कॉन्फ़िगरेशन होने से उच्च सुरक्षा जोखिम होता है.

यह टॉमकैट शटडाउन पोर्ट और डिफ़ॉल्ट कमांड को कुछ अप्रत्याशित में बदलने की सिफारिश की गई है.

  • Server.xml में निम्नलिखित को संशोधित करें

8005 – कुछ अन्य अप्रयुक्त पोर्ट में बदलें

SHUTDOWN – कुछ जटिल में बदलें

भूतपूर्व-

डिफ़ॉल्ट 404, 403, 500 पेज बदलें

डिफ़ॉल्ट पृष्ठ के लिए नहीं मिला, निषिद्ध, सर्वर त्रुटि संस्करण विवरण को उजागर करता है.

आइए डिफ़ॉल्ट 404 पृष्ठ को देखें.

मिटाने के लिए, आप पहले एक सामान्य त्रुटि पृष्ठ बना सकते हैं और सामान्य त्रुटि पृष्ठ पर पुनर्निर्देशित करने के लिए web.xml कॉन्फ़िगर कर सकते हैं.

  • $ Tomcat / webapps / $ एप्लिकेशन पर जाएं
  • Vi संपादक का उपयोग करके एक एरर .jsp फ़ाइल बनाएँ

त्रुटि पृष्ठ

यह एक त्रुटि है!

  • $ Tomcat / conf फ़ोल्डर में जाएं
  • Web.xml फ़ाइल में निम्न जोड़ें। सुनिश्चित करें कि आप वाक्यविन्यास से पहले जोड़ते हैं

404
/error.jsp

403
/error.jsp

500
/error.jsp

  • इसका परीक्षण करने के लिए टेरकट सर्वर को पुनरारंभ करें

काफी बेहतर!

आप इसे java.lang.Exception के लिए भी कर सकते हैं। यदि कोई जावा लैंग अपवाद है तो यह टॉमकैट संस्करण की जानकारी को उजागर नहीं करने में मदद करेगा.

बस web.xml में निम्नलिखित जोड़ें और टॉमकैट सर्वर को पुनरारंभ करें.

java.lang.Exception
/error.jsp

मुझे उम्मीद है कि उपरोक्त गाइड आपको टॉमकैट को सुरक्षित करने का विचार देगा। यदि आप टॉमकैट प्रशासन के बारे में अधिक जानना चाहते हैं, तो यह देखें ऑनलाइन पाठ्यक्रम.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map