Quelles mesures dois-je prendre pour sécuriser Tomcat 6.x?
10
Je suis en train de configurer un nouveau déploiement Tomcat et je souhaite qu'il soit aussi sécurisé que possible.
J'ai créé un utilisateur «jakarta» et ai jsvc exécutant Tomcat en tant que démon. Des conseils sur les autorisations de répertoire et autres pour limiter l'accès aux fichiers de Tomcat?
Je sais que je devrai supprimer les applications Web par défaut - documents, exemples, etc ... y a-t-il des meilleures pratiques que je devrais utiliser ici? Qu'en est-il de tous les fichiers XML de configuration? Des conseils là-bas?
Vaut-il la peine d'activer le gestionnaire de sécurité pour que les applications Web s'exécutent dans un bac à sable? Quelqu'un a-t-il eu l'expérience de la mise en place de cela?
J'ai vu des exemples de personnes exécutant deux instances de Tomcat derrière Apache. Il semble que cela puisse être fait en utilisant mod_jk ou avec mod_proxy ... des avantages / inconvénients de l'un ou l'autre? Vaut-il la peine?
Au cas où cela importerait, le système d'exploitation est Debian Lenny. Je n'utilise pas apt-get car lenny ne propose que tomcat 5.5 et nous avons besoin de 6.x.
Vous pouvez installer Tomcat 6 pour exécuter sous en jsvctant qu'utilisateur tomcat (pas en tant que root ). Voici ce que j'ai fait la dernière fois que je l'ai configuré:
J'ai installé l'application Tomcat sous /usr/java/tomcat( CATALINA_HOME) et une instance sous /var/lib/tomcat( CATALINA_BASE):
cd /usr/java
sudo tar xzvf ~/downloads/apache-tomcat-6.0.18.tar.gz
sudo ln -s apache-tomcat-6.0.18 tomcat
sudo /usr/sbin/useradd -d /var/lib/tomcat -c "Apache Tomcat" -m -s /sbin/nologin tomcat
cd /var/lib/tomcat
sudo mkdir logs work temp
sudo chown tomcat:tomcat logs temp work
(cd /usr/java/tomcat && sudo tar cvf - conf webapps) | sudo tar xvf -
sudo chmod -R g+rw webapps conf
sudo chown -R tomcat:tomcat webapps conf
cd webapps/
sudo rm -rf docs examples manager host-manager
cd ../conf
sudo chmod g+r *
Ensuite, j'ai construit le jsvcwrapper:
cd
tar xzvf downloads/apache-tomcat-6.0.18.tar.gz
tar xzvf apache-tomcat-6.0.18/bin/jsvc.tar.gz
cd jsvc-src
chmod +x configure
./configure --with-java=$JAVA_HOME
make
./jsvc --help
sudo cp jsvc /usr/local/sbin/
Enfin, j'ai resserré les autorisations sur les répertoires d'instance:
Lorsque vous exécutez Tomcat maintenant, vous devez le démarrer à l'aide de jsvc, alors ajoutez ce script en tant que /etc/init.d/tomcatet créez un lien symbolique approprié:
J'ajoute généralement le chmod et le chown au script de démarrage (init), car il s'exécute en tant que root. J'ai été mordu plusieurs fois par des personnes qui "aidaient" à démarrer tomcat en tant que root, conduisant à des fichiers et des répertoires appartenant à root et non accessibles en écriture pour l'utilisateur tomcat une fois redémarré correctement. Vous avez manqué "sudo chown tomcat: tomcat temp work" dans votre liste? Ou ai-je raté quelque chose?
Olaf
Comme ils sont créés par Tomcat, ils seront créés avec tomcat: tomcat owner / group.
CoverosGene
Une raison pour ne pas utiliser le package jsvc pré-emballé? Personnellement, j'installe le package même si je télécharge Tomcat depuis les serveurs d'Apache.
tronda
3
Le département américain de la Défense a un bon guide qui a combiné les conseils de sécurité de Tomcat en un guide de sécurité du serveur Web (SRG) global. Vous pouvez trouver plus de guides de sécurité ici:
Merci, bien qu'ils ne soient pas dans un format très convivial
Peter Sankauskas
Le lien est rompu. Ils ne semblent pas non plus fournir de liste de contrôle spécifique à Tomcat.
Bob
mis à jour pour corriger le lien. Il y a encore des éléments spécifiques à Tomcat dans le guide des services d'application.
Jim Hunziker,
C'est une excellente page, cependant, elle date de 2006, donc certaines recommandations peuvent ne pas être à jour pour le dernier tomcat. Voici le paragraphe pertinent sur les autorisations de répertoire: B.2 Installation et démarrage Tomcat peut être configuré pour s'exécuter en tant qu'application mono-utilisateur ou en tant que service ou processus système partagé. Un service ou un processus Tomcat n'a pas besoin d'administrateur de la plateforme hôte ni de privilèges root pour fonctionner. Pour limiter le risque d'exploits du serveur Tomcat, un compte hôte personnalisé dédié à l'exécution du service ou du processus Tomcat sera créé et se verra attribuer des privilèges minimaux sur le système hôte.
amos
2
L'Open Web Application Security Project ( OWASP ) propose une page wiki sur la sécurisation de Tomcat , que vous pourriez trouver utile. Au moment d'écrire ces lignes, il semble plus axé sur Tomcat 5.x, mais nous espérons qu'il sera mis à jour au fil du temps.
J'envisagerais sérieusement de rétroporter les packages tomcat6 des tests. Vous pouvez vous abonner au package pour recevoir des notifications de nouvelles versions téléchargées dans l'archive. (Je suis légèrement biaisé car j'ai travaillé sur le paquet Debian).
Je n'ai pas essayé d'exécuter des applications Web sous un gestionnaire de sécurité, car aucune application n'est livrée avec une politique et c'est franchement une opération longue de créer vous-même. Si vous êtes paranoïaque, vous pouvez certainement le faire. Cela implique principalement d'exécuter tomcat, d'attendre que quelque chose se passe, puis d'ajouter une exception à la stratégie et de redémarrer tomcat à nouveau. Rincer, répéter, etc.
Évidemment, ne lancez pas tomcat en tant que root. L'utilisateur tomcat ne doit pas pouvoir écrire sur quoi que ce soit en dehors du répertoire des journaux ou du répertoire de travail. Vous devez vous assurer que votre répertoire webapps ne contient que les webapps que vous souhaitez exécuter.
Je cours toujours tomcat derrière apache. C'est en partie parce que j'aimerais penser que plus de gens utilisent Apache, donc les bugs seraient trouvés plus rapidement. C'est à peu près un vœu pieux et vous ne devriez pas compter sur le fait qu'il s'agit d'une amélioration de la sécurité. Ce que vous apporte Apache, c'est la configurabilité. Il y a beaucoup de modules que tomcat n'a tout simplement pas, ou ne peut pas faire aussi efficacement. mod_cache, mod_ssl, mod_security me viennent à l'esprit. Vous avez le choix entre mod_jk, mod_proxy (et soit mod_proxy_http ou mod_proxy_ajp). mod_jk (et mod_proxy_ajp) utilisent le protocole AJP binaire plutôt que le protocole http moins efficace. Je recommanderais d'utiliser mod_jk.
N'oubliez pas de changer le mot de passe par défaut du rôle d'administrateur dans tomcat-users.xml.C'est très important, sinon une personne malveillante peut déployer des applications sans autorisation restreinte comme une porte dérobée sur le serveur tomcat et essayer de faire beaucoup de mauvaises choses.
Le département américain de la Défense a un bon guide qui a combiné les conseils de sécurité de Tomcat en un guide de sécurité du serveur Web (SRG) global. Vous pouvez trouver plus de guides de sécurité ici:
http://iase.disa.mil/stigs/srgs/Pages/index.aspx
la source
L'Open Web Application Security Project ( OWASP ) propose une page wiki sur la sécurisation de Tomcat , que vous pourriez trouver utile. Au moment d'écrire ces lignes, il semble plus axé sur Tomcat 5.x, mais nous espérons qu'il sera mis à jour au fil du temps.
la source
J'envisagerais sérieusement de rétroporter les packages tomcat6 des tests. Vous pouvez vous abonner au package pour recevoir des notifications de nouvelles versions téléchargées dans l'archive. (Je suis légèrement biaisé car j'ai travaillé sur le paquet Debian).
Je n'ai pas essayé d'exécuter des applications Web sous un gestionnaire de sécurité, car aucune application n'est livrée avec une politique et c'est franchement une opération longue de créer vous-même. Si vous êtes paranoïaque, vous pouvez certainement le faire. Cela implique principalement d'exécuter tomcat, d'attendre que quelque chose se passe, puis d'ajouter une exception à la stratégie et de redémarrer tomcat à nouveau. Rincer, répéter, etc.
Évidemment, ne lancez pas tomcat en tant que root. L'utilisateur tomcat ne doit pas pouvoir écrire sur quoi que ce soit en dehors du répertoire des journaux ou du répertoire de travail. Vous devez vous assurer que votre répertoire webapps ne contient que les webapps que vous souhaitez exécuter.
Je cours toujours tomcat derrière apache. C'est en partie parce que j'aimerais penser que plus de gens utilisent Apache, donc les bugs seraient trouvés plus rapidement. C'est à peu près un vœu pieux et vous ne devriez pas compter sur le fait qu'il s'agit d'une amélioration de la sécurité. Ce que vous apporte Apache, c'est la configurabilité. Il y a beaucoup de modules que tomcat n'a tout simplement pas, ou ne peut pas faire aussi efficacement. mod_cache, mod_ssl, mod_security me viennent à l'esprit. Vous avez le choix entre mod_jk, mod_proxy (et soit mod_proxy_http ou mod_proxy_ajp). mod_jk (et mod_proxy_ajp) utilisent le protocole AJP binaire plutôt que le protocole http moins efficace. Je recommanderais d'utiliser mod_jk.
la source
N'oubliez pas de changer le mot de passe par défaut du rôle d'administrateur dans tomcat-users.xml.C'est très important, sinon une personne malveillante peut déployer des applications sans autorisation restreinte comme une porte dérobée sur le serveur tomcat et essayer de faire beaucoup de mauvaises choses.
la source