web-dev-qa-db-ja.com

Tomcat 6.xを保護するには、どのような手順を踏む必要がありますか?

私は新しいTomcatデプロイメントをセットアップしている最中なので、できるだけ安全にしたいと考えています。

「jakarta」ユーザーを作成し、jsvcでデーモンとしてTomcatを実行しています。 Tomcatのファイルへのアクセスを制限するためのディレクトリ許可などのヒントはありますか?

デフォルトのWebアプリケーション(ドキュメント、例など)を削除する必要があることはわかっています。ここで使用すべきベストプラクティスはありますか?すべての構成XMLファイルについてはどうですか?何かヒントはありますか?

Webアプリケーションがサンドボックスで実行されるように、セキュリティマネージャーを有効にする価値はありますか?誰かがこれを設定した経験がありますか?

Apacheの背後でTomcatの2つのインスタンスを実行している人々の例を見てきました。これはmod_jkを使用して、またはmod_proxyを使用して実行できるようです...トラブルの価値はありますか?

重要な場合は、OSはDebian lennyです。 lennyはTomcat 5.5しか提供しておらず、6.xが必要なので、私はapt-getを使用していません。

ありがとう!

10

Tomcat 6をインストールして、jsvcの下でユーザーTomcatとして実行できます(rootとしてではありません)。これが前回設定したときのことです。

Tomcatアプリケーションを/usr/Java/TomcatCATALINA_HOME)に、インスタンスを/var/lib/TomcatCATALINA_BASE)にインストールしました。

cd /usr/Java
Sudo tar xzvf ~/downloads/Apache-Tomcat-6.0.18.tar.gz
Sudo ln -s Apache-Tomcat-6.0.18 Tomcat
Sudo /usr/sbin/useradd -d /var/lib/Tomcat -c "Apache Tomcat" -m -s /sbin/nologin Tomcat
cd /var/lib/Tomcat
Sudo mkdir logs work temp
Sudo chown Tomcat:tomcat logs temp work
(cd /usr/Java/Tomcat && Sudo tar cvf - conf webapps) | Sudo tar xvf -
Sudo chmod -R g+rw webapps conf
Sudo chown -R Tomcat:tomcat webapps conf
cd webapps/
Sudo rm -rf docs examples manager Host-manager
cd ../conf
Sudo chmod g+r *

次に、jsvcラッパーを作成しました。

cd
tar xzvf downloads/Apache-Tomcat-6.0.18.tar.gz
tar xzvf Apache-Tomcat-6.0.18/bin/jsvc.tar.gz
cd jsvc-src
chmod +x configure
./configure --with-Java=$Java_HOME
make
./jsvc --help
Sudo cp jsvc /usr/local/sbin/ 

最後に、インスタンスディレクトリのアクセス許可を厳しくしました。

cd /var/lib/Tomcat
Sudo chmod -R 0700 conf
Sudo chmod -R 0750 logs
Sudo chmod -R 0700 temp
Sudo chmod -R 0700 work
Sudo chmod -R 0770 webapps/
Sudo chown -R Tomcat:tomcat conf
Sudo chown -R Tomcat:tomcat logs

ここでTomcatを実行するときは、jsvcを使用して開始する必要があるため、このスクリプトを/etc/init.d/Tomcatとして追加し、適切にシンボリックリンクします。

#!/bin/sh
#
# Tomcat       Startup script for the Apache Tomcat Server running under jsvc
#
# chkconfig: 345 85 15
# description: Apache Tomcat
# pidfile: /var/run/jsvc.pid

Java_HOME=/usr/Java/jdk1.6.0_13
CATALINA_HOME=/usr/Java/Apache-Tomcat-6.0.18
CATALINA_BASE=/var/lib/Tomcat
Java_OPTS="-Djava.awt.headless=true"
JMX_OPTS="-Dcom.Sun.management.jmxremote.port=1099 -Dcom.Sun.management.jmxremote.authenticate=false -Dcom.Sun.management.jmxremote.ssl=false"

DAEMON_APP=/usr/local/sbin/jsvc
Tomcat_USER=Tomcat

# Everything below should be okay
PID_FILE=/var/run/jsvc.pid
LOCK_FILE=/var/lock/Tomcat

PATH=/sbin:/bin:/usr/bin
. /lib/init/vars.sh

. /lib/lsb/init-functions

[ -x $Java_HOME/bin/Java ] || exit 0
[ -x $DAEMON_APP ] || exit 0
[ -d $CATALINA_HOME/bin ] || exit 0
[ -d $CATALINA_BASE ] || exit 0

RETVAL=0
prog="jsvc"

CLASSPATH=\
$Java_HOME/lib/tools.jar:\
$CATALINA_HOME/bin/commons-daemon.jar:\
$CATALINA_HOME/bin/bootstrap.jar

start() {
  # Start Tomcat
  log_daemon_msg "Starting Apache Tomcat"
  $DAEMON_APP \
    -user $Tomcat_USER \
    -home $Java_HOME \
    -wait 10 \
    -pidfile $PID_FILE \
    -outfile $CATALINA_BASE/logs/catalina.out \
    -errfile $CATALINA_BASE/logs/catalina.out \
    $Java_OPTS $JMX_OPTS \
    -Djava.util.logging.manager=org.Apache.juli.ClassLoaderLogManager \
    -Djava.util.logging.config.file=$CATALINA_BASE/conf/logging.properties \
    -Dcatalina.home=$CATALINA_HOME \
    -Dcatalina.base=$CATALINA_BASE \
    -Djava.io.tmpdir=$CATALINA_BASE/temp \
    -cp $CLASSPATH \
    org.Apache.catalina.startup.Bootstrap start 2>/dev/null 1>&2
  RETVAL=$?
  if [ 0 -eq $RETVAL ]; then
    touch $LOCK_FILE
    log_end_msg 0
  else
    log_end_msg 1
  fi
}

stop() {
  # Stop Tomcat
  log_daemon_msg "Stopping Apache Tomcat"
  $DAEMON_APP \
    -stop \
    -pidfile $PID_FILE \
    org.Apache.catalina.startup.Bootstrap 2>/dev/null 1>&2
  RETVAL=$?
  if [ 0 -eq $RETVAL ]; then
    rm -rf $LOCK_FILE
    log_end_msg 0
  else
    log_end_msg 1
  fi
}

restart() {
  stop
  sleep 5
  start
}

# See how we were called.
case "$1" in
  start)
    start
    ;;
  stop)
    stop
    ;;
  restart)
    restart
    ;;
  status)
    status $prog
    ;;
  condrestart)
    [ -f $LOCK_FILE ] && restart || :
    ;;
  *)
    log_action_msg "Usage: $0 {start|stop|restart|status|condrestart}"
    exit 1
esac

exit $?
6
CoverosGene

米国国防総省には、TomcatのセキュリティガイダンスをWebサーバーセキュリティガイド(SRG)全体に組み込んだ優れた guide があります。ここでより多くのセキュリティガイドを見つけることができます:

http://iase.disa.mil/stigs/srgs/Pages/index.aspx

3
Jim Hunziker

Open Web Application Security Project( [〜#〜] owasp [〜#〜] )は Tomcatのセキュリティ保護に関するwikiページ を提供します。執筆時点では、Tomcat 5.xに重点が置かれているようですが、時間の経過とともに更新されることを期待しています。

2
Kaitsu

テストからTomcat6パッケージをバックポートすることを真剣に検討します。パッケージをサブスクライブして、アーカイブにアップロードされている新しいバージョンの通知を受け取ることができます。 (私はdebianパッケージングに取り組んだので、少し偏っています)。

セキュリティマネージャーの下でwebappsを実行しようとしたことはありません。アプリケーションがポリシーに付属していないことと、率直に言って、自分で作成するのに時間がかかる操作だからです。あなたが偏執的であるならば、あなたは確かにそうすることができます。ほとんどの場合、Tomcatを実行し、何かが動作するのを待ってから、ポリシーに例外を追加して、Tomcatを再起動します。すすぎ、繰り返しなど.

もちろん、Tomcatをrootとして実行しないでください。 Tomcatユーザーは、ログディレクトリまたは作業ディレクトリの外部に書き込むことはできません。 webappsディレクトリには、実行するwebappsのみが含まれていることを確認してください。

私は常にApacheの背後でTomcatを実行しています。これは、Apacheをより多くの人が使用すると思うので、バグがより早く発見されるでしょう。これはかなり希望的な考えであり、これがセキュリティの改善であることを当てにするべきではありません。 Apacheがもたらすのは構成可能性です。 Tomcatにはない、または効率的に実行できないモジュールがたくさんあります。 mod_cache、mod_ssl、mod_securityのすべてが思い浮かびます。 mod_jk、mod_proxy(およびmod_proxy_httpまたはmod_proxy_ajp)を選択できます。 mod_jk(およびmod_proxy_ajp)は、効率の悪いhttpプロトコルではなく、バイナリAJPプロトコルを使用します。 mod_jkの使用をお勧めします。

1
David Pashley

Tomcat-users.xmlの管理者ロールのデフォルトパスワードを変更することを忘れないでください。それは非常に重要です。悪意のある人物が、Tomcatサーバーへのバックドアなどの制限された権限なしにアプリケーションをデプロイし、多くの悪いことを試みる可能性があります。

0
Ali Mezgani