Zabezpečení Manager aplikace u Tomcatu

publikováno: 11.3.2014

Čirou náhodou jsem webu narazil na zmínku o worm Java.Tomdep, který byl objeven koncem minulého roku a napadá Tomcaty, které mají nainstalovanou Manager aplikaci a jednoduchá uživ. jména a hesla (jako je admin / admin, manager / admin, root / tomcat apod.):

Upozornění: Nemusíte se děsit, podle Symantecu to není moc rozšířené. Každopádně mě to donutilo sepsat best practice zabezpečení (nejenom) Manager aplikace.

Pokud Manager aplikaci nepotřebujete, tak ji smažte. To samé se týká dalších web. aplikací, které jsou na Tomcatu ve výchozím nastavení nainstalované. Pokud ji používat chcete, pak je důležité zabezpečení:

  • Samozřejmostí je, aby Tomcat neběžel pod uživatelem root / Administrator. Když ostatní selže, tak tím minimalizujete škody.
  • Pomocí Valve RemoteAddrValve povolte k Manager aplikaci přístup pouze z vybraných IP adres. Nebo to samé pomocí firewallu / předřazeného Apache HTTPD. http://tomcat.apache.org/tomcat-7.0-doc/manager-howto.html
  • Používejte kombinaci dostatečně dlouhého uživ. jména a hesla. Nepoužívat uživ. jména admin, manager, tomcat, root atp. Používejte LockOutRealm pro zabránění brute-force útoku.
  • Nastavte HTTPS tak, aby komunikace mezi Manager aplikací a klientem probíhala zašifrovaně. K tomu je nutné nastavit v [apache-tomcat]/conf/server.xml SSL Connector a v [apache-tomcat]/webapps/manager/WEB-INF/web.xml dovnitř tagu <security-constraint>:
<user-data-constraint>
   <transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>

Reference

Podavane informace byly aktualni, byly vysvetlene i souvislosti, hlavne na uvod byl dobre vysvetlen kontext probiraneho tematu, teda co je co a jaky to ma vyznam. Navic bylo cele skoleni podporeno

Petr

S priebehom kurzu som bol nadmieru spokojný. Na kurze ma zaujali okrem klasickej teorie aj prakticke príklady ktoré boli podané s plnohodnotným vysvetlením. Myslím že v rámci školenia bol venovaný

František

Vazim si otvorenost lektora, ktory bol ochotny podelit sa o svoje dlhorocne znalosti a skusenosti v obore, pristup k studentom bol neformalny, co nakoniec vytvorilo vybornu atmosferu na pokladanie dotazou

Lukáš


Novinky

15.9.2018: Nastavení GZIP komprese, HTTP/2, cachování statických stránek a HTTPS ve Spring Boot serveru
Jak nakonfigurovat Spring Boot server tak, aby byl production-ready?

15.9.2018: Přechod na HTTP/2 + Apache
Jak rozchodit HTTP/2 s Apache a Ubuntu

14.9.2018: Lovování v Javě
Logování je mnohem zajímavější oblast než by si člověk mohl myslet ...