web-dev-qa-db-ja.com

Tomcat用のApacheフロントエンド、プロキシセキュリティ

アプリ用のTomcatとフロントエンド用のApache2をホストするサーバーがあります。これらは、mod_moxyおよびproxy_ajpモジュールを介してajpプロトコルを介して相互に通信します。

この形式でApache仮想ホストを使用しても本当に安全ですか?

...
        ProxyRequests Off

        <Proxy *>
                Order deny,allow
                Deny from all
                Allow from 192.168.0.100
        </Proxy>

        ProxyPass / ajp://srv.local:8009/
        ProxyPassReverse / http://srv.local
...

0.100はサーバーのIPアドレスであり、ポート8009の背後にはTomcatAJPコネクタがあります。 Apacheに外部からのプロキシ要求をカットし、Tomcatとの通信にApacheのみが使用できるようにしたい。

apache-2.2securityproxyajptomcat7
1
user1492810

<Proxy>ブロックのアクセス制御は、リクエストの送信先ではなく、リクエストの送信元に適用されます。 ProxyRequestsが無効になっている限り、プロキシを介したリクエストは、設定していない宛先に送信されることはありません。

したがって、<Proxy *>ブロックはリスクなしで削除できます。

1
Shane Madden