zabezpieczeniaTomcata - pitaatip/Cyberwej GitHub Wiki

• usunięcie domyślnie zainstalowanych aplikacji, tak aby nie udostępniać informacji o środowisku uruchamiania
• zmiana domyślnej komendy wyłączenia serwera, wpisując <server port="8098" shutdown="goingdown"> w pliku conf/server.xml
• uruchamianie Tomcata z konta specjalnie przygotowanego użytkownika, aby szczegółowo wyspecyfikować uprawnienia serwera odnośnie zasobów systemu operacyjnego
• zabezpieczenie systemu plików
• zabezpieczenie JVM, pozwalające definiować uprawnienia aplikacji do narażonych na ataki zasobów

Uruchomienie Tomcata w trybie security możliwe jest poprzez dodanie opcji –security w argumentach startowych serwera. Mechanizm tez pozwala definiować uprawnienia aplikacji do określonych zasobów w plikach konfiguracyjnych. Uprawnienia określane są w pliku conf/catalina.policy

• autentykacja – Tomcat wykorzystuje obszary bezpieczeństwa przechowujące dane autentykacji użytkowników aplikacji. Istnieją 4 mechanizmy autentykacji - BASE, DIGEST, FORM, HTTPS client certificate. Mechanizmy autentykacji konfigurowane są w pliku web.xml. Użytkownicy są przyporządkowani do określonych ról, którym nadawane są uprawnienia.
• szyfrowanie danych. Tomcat ma ustawiony konektor https umożliwiający bezpieczne połączenia klietna z serwerem przy użyciu SSL.
• wyłączenie DefaultServlet. Jest to servlet obsługujący wszystkie próby połączeń do nieistniejących zasobów. Umożliwienie jego działania stanowi punkt zagrożenia aplikacji, ponieważ pozwala na dostęp do informacji o wewnętrznych mechanizmach działania aplikacji.
• filtrowanie lub odrzucanie zapytań od określonych klientów aplikacji.