cuán seguro es tomcat

Question

como se puede ver en otras dos preguntas que tenía Estoy buscando un servidor web seguro ya que allí donde la discusión en el trabajo es lo seguro que es Tomcat. Pero básicamente lo que encontré en la red con respecto a qué tan seguro es es griego para mí. Así que estaba esperando, ¿alguien podría explicarme qué tan seguro es en realidad Tomcat? Al igual que, ¿es posible meterse con el código java en el servidor o algo como esto?

Sé que esta es probablemente una pregunta tonta, pero realmente no puedo encontrar una respuesta que me ayude a argumentar que escribir un servidor propio no es más seguro que usar tomcat o cómo podría ser mejor usar tomcat .

¿Quizás alguien sepa una buena forma de proteger tomcat y minimizar ciertas funciones de tomcat? (Realmente no sé cómo explicarlo ...)

Espero que me puedan ayudar. ¡Thnx por adelantado!

... dg

Answer 1

tal vez antes, Tomcat era bastante inseguro, pero hoy en día ... cualquier cosa que tenga Apache bajo su nombre es suficiente para que pueda confiar en él. De todos modos, la seguridad SIEMPRE era la imaginación, no existe tal cosa en la vida real, por lo que siempre habrá un factor de (in) seguridad.

El problema con Tomcat es como un problema con Windows, no importa qué tan 'seguro' lo hayan construido, si hay millones de personas que lo usan, los hackers tendrán interés en invertir su energía (y, finalmente, tendrán éxito) en encontrando la forma de entrar en ella. Así que tal vez para sentirse más seguro, puede considerar usar algo no muy usado, pero esto no ayudará si el pirata informático está pirateando intencionalmente su sitio por alguna razón especial, descubrirá la tecnología que está utilizando y en este momento, sería mejor fue Tomcat ...

Por eso es muy importante 'casarse' con tecnologías de código abierto como Tomcat, ya que no hay una gran posibilidad de que un agujero en el sistema dure mucho tiempo, la gente tiene la oportunidad de arreglar cosas, siempre puede hacer el trabajo usted mismo, no tiene que esperar una nueva versión, etc.

Answer 2

• Mira el changelog y contar los problemas de seguridad fijos;
• Mire el CVE entries for Tomcat y vea cómo le parece.

Pero en general, es una muy mala ideaescribir su propio contenedor servlet, sobre todo si los argumentos de seguridad Tomcat no están claras para usted.

---

Si necesita argumentos jefe convincente, le muestran el serlvet spec es necesario implementar, y el tiempo estimado en el orden de años-hombre (no es broma!), Contrastando esto con el 'descargar, descomprimir, inicio 'opción de usar Tomcat.

Answer 3

¿Está escribiendo su propio servidor? ¿A diferencia del uso de Tomcat? Ese es un caso clásico de reinvención de la rueda y (a menos que sea la NSA) que pueda dar como resultado un servidor seguro menos. Pregunta retórica: ¿por qué no escribir su propio sistema operativo para ir con él!

Tomcat 6 es una base de código muy madura, estable, actual y bien entendida que ha tenido millones de personas muy, muy inteligentes revisándola, probándola y poniéndola en producción durante años y años.

Tomcat es muy seguro.

Answer 4

Sé que este es un tiempo probablemente pregunta tonta, pero me parece que no puede encontrar una respuesta que me ayuda a argumento de que la escritura es un servidor propio no más seguro que el uso de Tomcat o cómo podría ser mejor usar Tomcat.

Lo que debes recordar es que Tomcat tiene miles de horas de gente mirando el código y corrigiendo errores y agujeros. Pensar en escribir un código seguro es fácil. Hacerlo es extremadamente difícil. Hay muchas cosas pequeñas que pueden pasarse por alto y que pueden contribuir a un agujero masivo.

Answer 5

Como ya se ha mencionado, Tomcat está listo para su uso en producción y la seguridad de Tomcat es ciertamente mejor de lo que cualquier pequeño equipo podría lograr al escribir su propio servidor servlet.

Dicho esto, el punto probablemente más débil en una configuración de Tomcat es comúnmente la configuración del sistema operativo subyacente.

Answer 6

Si bien no soy un hacker, me sería difícil imaginar cómo Tomcat sería su primer puerto de escala si usted fuera tratando de atacar un sistema, después de todo, está ejecutando su código y, presumiblemente, detrás de un servidor de seguridad y servidores de fachada. Si este no es el caso, ¡entonces debería ser!

Una vez que la red esté lo más segura posible, recuerde que Tomcat es solo un motor Servlet: tendrá problemas para explotar las solicitudes http. Me centraría en el código de tu aplicación, cosas como la autenticación de usuario y evitar los diversos ataques de inyección: esto en mi opinión es el mayor riesgo para tu sistema y existirá en cualquier servidor en el que estés ejecutando.

Answer 7

Tomcat es un servidor seguro. Sin embargo, es incluso más seguro utilizar Apache Web Server para usarlo como proxy. Puede usar mod_proxy para conectar Apache con Tomcat utilizando el protocolo AJP o HTTP. Esta es la configuración más segura y puede aprovechar los muchos módulos adicionales disponibles para el servidor Apache Http.

Algunos consejos para una instalación segura:

• crear un usuario para ejecutar Tomcat. No use el usuario root.
• Desinstalar las aplicaciones de ejemplo.
• Desinstale la aplicación de administrador. Si utiliza Apache para proxy Tomcat, puede mantener el administrador de forma segura y hacerlo disponible solo a través de su red local.