Kontaktní osoba:
Ing. Jiří Pinkas
Mobil: +420 774 912 047

Zabezpečení Manager aplikace u Tomcatu


publikováno: 11.3.2014

Čirou náhodou jsem webu narazil na zmínku o worm Java.Tomdep, který byl objeven koncem minulého roku a napadá Tomcaty, které mají nainstalovanou Manager aplikaci a jednoduchá uživ. jména a hesla (jako je admin / admin, manager / admin, root / tomcat apod.):

Upozornění: Nemusíte se děsit, podle Symantecu to není moc rozšířené. Každopádně mě to donutilo sepsat best practice zabezpečení (nejenom) Manager aplikace.

Pokud Manager aplikaci nepotřebujete, tak ji smažte. To samé se týká dalších web. aplikací, které jsou na Tomcatu ve výchozím nastavení nainstalované. Pokud ji používat chcete, pak je důležité zabezpečení:

  • Samozřejmostí je, aby Tomcat neběžel pod uživatelem root / Administrator. Když ostatní selže, tak tím minimalizujete škody.
  • Pomocí Valve RemoteAddrValve povolte k Manager aplikaci přístup pouze z vybraných IP adres. Nebo to samé pomocí firewallu / předřazeného Apache HTTPD. http://tomcat.apache.org/tomcat-7.0-doc/manager-howto.html
  • Používejte kombinaci dostatečně dlouhého uživ. jména a hesla. Nepoužívat uživ. jména admin, manager, tomcat, root atp. Používejte LockOutRealm pro zabránění brute-force útoku.
  • Nastavte HTTPS tak, aby komunikace mezi Manager aplikací a klientem probíhala zašifrovaně. K tomu je nutné nastavit v [apache-tomcat]/conf/server.xml SSL Connector a v [apache-tomcat]/webapps/manager/WEB-INF/web.xml dovnitř tagu <security-constraint>:
<user-data-constraint>
   <transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>




comments powered by Disqus


Reference

" Co dodat? Byl to super kurz. Pěkné pochopitelné příklady k vybrané problematice. Rychlost školitele optimální, vše se dalo pěkně stíhat. Pokud účastníkk nevěděl nebo udělal chybu a nevěděl, tak školitel " podrobnosti ...

Michal

" S kurzem jsem byl maximálně spokojen. Na přednášejícím bylo vidět, že ví o čem mluví a dokázal zaujmout, i v případě neporozumění ochotně pomohl a danému člověku problém osvětlil. Rozhodně " podrobnosti ...

Josef

Embedit

" Java kurz byl pro mě velmi přínosný. Jiří je skvělý školitel, který dělá přesně to, co ho baví a na přístupu to bylo každý den velmi znát. Školení bych doporučil " podrobnosti ...

Filip


Novinky

Nové datum vydání Java 9: 21.9.2017

Mark Reinhold aktualizoval datum GA (General Availability) Java 9 na 21.9.2017. více ...

Juergen Hoeller v Brně (jeden z autorů Spring frameworku)! 15.3.2017

15.3.2017, 18:00, Brno, Smetanova 19. Nutná rezervace místa! více ...

Bilance Java školení 2016

Co se mi (ne)povedlo v roce 2016 a plány na rok 2017 více ...

Oracle se prý v roce 2017 zaměří na vynucení Java licencí a pokutování zákazníků

Jak nedostat od Oracle pokutu za komerční použití Javy? více ...

Java DB (Derby) a Visual VM nebudou součástí Java JDK 9

Změny v Java JDK 9 více ...

Java VisualVM (jvisualvm) je nyní na GitHubu

více ...