tomcat有多安全

时间:2009-06-12 11:34:26

标签: security tomcat

从另外两个问题可以看出我正在寻找一个安全的网络服务器,因为在那里讨论工作中tomcat的真正安全性。 但基本上我在网上发现它对我来说是多么安全。所以我希望,有人可以向我解释一下tomcat到底有多安全吗?比如,是否有可能弄乱服务器上的java代码或类似的东西?

我知道这可能是一个愚蠢的问题,但我似乎无法找到一个答案,这有助于我认为编写自己的服务器并不比使用tomcat更安全或者如何使用tomcat更好。

也许有人知道保护tomcat并最大限度地减少tomcat的某些功能的好方法? (我真的不知道如何解释它......)

我希望你能帮助我。 Thnx提前!

... dg

7 个答案:

答案 0 :(得分:19)

编写自己的服务器?而不是使用Tomcat?这是重新发明轮子的经典案例(除非您是NSA)可能会导致 less 安全服务器。修辞问题:为什么不编写自己的操作系统来配合它!

Tomcat 6是一个非常成熟,稳定,最新且易于理解的代码库,拥有数以万计的非常非常聪明的人审阅,测试和在生产中运行多年和数年。

Tomcat非常安全。

答案 1 :(得分:9)

也许以前,Tomcat非常不安全,但现在......只要名字下有Apache就足以让我相信它了。无论如何,安全总是想象,现实生活中不存在这样的东西,所以总会有(安全)因素。

Tomcat的问题就像Windows的问题一样,无论他们如何“安全”建立它,如果有数百万人使用它,黑客将有兴趣投入他们的能量(最终,他们将成功)闯入它的方法。所以也许感觉更安全,你可以考虑使用不广泛使用的东西,但是如果黑客因为某些特殊原因故意黑客攻击你的网站,这将无济于事,他会找到你正在使用的技术,在这一刻 - 它会更好这是Tomcat ..

这就是为什么与tomcat这样的开源技术“结婚”非常重要,因为系统漏洞的可能性不大,人们有机会解决问题,你总能做到这一点你自己,不必等待新版本等。

答案 2 :(得分:6)

但总而言之,编写自己的Servlet容器是一个非常糟糕的想法,尤其是在您不清楚Tomcat安全性参数的情况下。


如果你需要老板有说服力的论据,请告诉他你需要实施的serlvet spec,并按人年的顺序估算时间(不是开玩笑!),将其与'下载,解压缩,开始对比'选择使用Tomcat。

答案 3 :(得分:6)

  

我知道这可能是愚蠢的   问题,但我真的似乎无法   找到一个可以帮助我的答案   编写自己的服务器的论点是   不比使用tomcat或如何更安全   使用tomcat可能会更好。

你必须记住的是,Tomcat有1000个小时的人在查看代码并修复漏洞和漏洞。考虑编写安全代码很容易。这样做非常困难。有许多可以忽略的小事情可能导致巨大的漏洞。

答案 4 :(得分:4)

Tomcat是一个安全的服务器。但是,使用Apache Web Server代理它更加安全。您可以使用mod_proxy使用AJP或HTTP协议将Apache与Tomcat连接。这是最安全的配置,您可以利用Apache Http Server可用的许多插件模块。

安全安装的一些提示:

  • 创建用户以运行Tomcat。不要使用root用户。
  • 卸载示例应用程序。
  • 卸载经理应用程序。如果您使用Apache代理Tomcat,则可以安全地保留管理器并使其仅通过本地网络可用。

答案 5 :(得分:3)

虽然我不是黑客,但我发现很难想象如果你试图攻击一个系统,Tomcat将如何成为你的第一个停靠点 - 毕竟它正在运行你的代码并且可能是在防火墙和前端之后服务器。如果不是这种情况,那应该是!

一旦网络尽可能安全,请记住Tomcat只是一个Servlet引擎 - 您在使用http请求时会遇到问题。我专注于您的应用程序代码,例如用户身份验证和避免各种注入攻击 - 这在我看来是您系统的最高风险,并且将存在于您正在运行的任何服务器上。

答案 6 :(得分:1)

正如其他人已经提到的那样,Tomcat已经为生产使用做好了准备,Tomcat本身的安全性肯定比编写自己的servlet服务器时任何小团队都要好。

也就是说,Tomcat设置中可能最薄弱的地方通常是底层操作系统的设置。