正如我之前提到的两个问题,我正在寻找一个安全的 Web 服务器。因为在工作中有讨论 Tomcat 的安全性如何,但是我在网上找到的关于它安全性的信息对我来说太晦涩难懂了。所以我希望有人能向我解释一下 Tomcat 到底有多安全?比如说,是否可能在服务器上操纵 Java 代码之类的?
我知道这可能是个愚蠢的问题,但我真的找不到一个能帮助我证明编写自己的服务器不比使用 Tomcat 更安全,或者为什么使用 Tomcat 更好的答案。
也许有人知道如何安全地保护 Tomcat 并最小化某些 Tomcat 的功能?(我真的不知道该怎么解释...)
希望你能帮助我。提前感谢!
... dg
想要自己编写服务器?而不是使用Tomcat?这是一个经典的重复造轮子的例子,而且(除非你是NSA)很可能导致服务器安全性降低。反问:为什么不顺便编写自己的操作系统呢!
Tomcat 6是一个非常成熟、稳定、当前的、广为人知的代码库,已经有数以百万计的非常聪明的人对其进行了审查、测试和生产操作多年。
Tomcat非常安全。
也许以前,Tomcat相当不安全,但现在...只要任何东西的名称中带有Apache,我就足以信任它。无论如何,安全总是想象力,现实生活中不存在这样的事情,因此总会存在(不)安全的因素。
Tomcat的问题就像Windows的问题一样,无论他们如何“安全”地构建它,如果有数百万人在使用它,黑客将有兴趣投入精力(最终,他们将成功)找到进入其中的方法。因此,也许为了感觉更安全,您可以考虑使用一些不常用的东西,但是如果黑客有意攻击您的站点以达到某个特殊目的,他将发现您正在使用的技术,并在这一刻-最好是Tomcat..
这就是为什么与像Tomcat这样的开源技术“结婚”非常重要,因为系统中的漏洞很难存在太久,人们有机会修复事情,您始终可以自己完成工作,无需等待新版本等。
总之,编写自己的Servlet容器是一个非常糟糕的想法,尤其是如果您不清楚Tomcat的安全性参数。
如果您需要说服老板的理由,请向他展示您需要实现的servlet规范,并估计需要数年时间(不是开玩笑!),与使用Tomcat的“下载、解压缩、启动”选项进行对比。
我知道这可能是一个愚蠢的问题,但我真的找不到一个能帮助我证明编写自己的服务器不比使用Tomcat更安全或者为什么使用Tomcat更好的答案。
你需要记住的是,Tomcat有数千小时的人们查看代码和修复漏洞的经验。想要编写安全的代码很容易,但实际上非常困难。有许多小细节可能会被忽视,从而导致严重的漏洞。
Tomcat是一个安全的服务器。但是,使用Apache Web服务器来代理它会更加安全。您可以使用mod_proxy使用AJP或HTTP协议将Apache与Tomcat连接起来。这是最安全的配置,您可以利用可用于Apache Http Server的许多插件模块。
一些安装安全的提示:
虽然我不是黑客,但我很难想象如果你试图攻击一个系统,Tomcat会是你的首选 - 毕竟它正在运行你的代码,并且可能在防火墙和前端服务器后面。如果不是这种情况,那么就应该是这样!
一旦网络尽可能安全,请记住Tomcat只是一个Servlet引擎 - 你将会有麻烦通过http请求进行利用。我会专注于你的应用程序代码,例如用户认证和避免各种注入攻击 - 在我看来,这是你的系统面临的最高风险,而且无论你运行什么服务器都会存在。
正如其他人已经提到的,Tomcat已经准备好用于生产环境,并且Tomcat本身的安全性肯定比任何小团队编写自己的servlet服务器要好。
尽管如此,在Tomcat设置中可能最薄弱的点通常是底层操作系统的设置。
