Tomcat教程

Tomcat安全防护

每个人都需要关注安全防护问题,即使您只是1个杂货店的老板或者是以Tomcat经营个人网站的人士,也该如此。一旦与巨大的互联网相连,则提前处理安全防护就变得尤为 重要。如果您不加强防护,则就有不法分子以多种方法破坏您的系统。更糟糕的是他们会以您的系统作为开始攻击其他网站的跳板。

在本章中,我们会详细讨论什么是安全防护,以及在安装的Tomcat中怎样改善安全防护能力,尽管如此,为避免误导,这里必须澄淸的是除非关机、锁在保险箱内,并由荷枪实弹的警卫看守,且为防止失控而配备白毁装置,否则世界上并没有绝对安全的计算机。当然,这样处理以后,这种绝对安全的计算机也就变得无用武之地了!您要得到的 是计算机系统“足够安全”。

安全防护的关键部分是加密处理。20世纪90年代末期,电子商务和在线商城已成为Web中难以抗拒级的应用程序之一。如eBay与Dell这样的网站已在互联网上实现了几亿元的零售及企业交易,当然,这些网站是由程序驱动的,而且通常是在如Tomcat的容器中运行的servlet与JSP程序。因此,Tomcat服务器的安全防护巳成为首先要处理的事情。

在阅读完本章并测试了所安装的Tomcat的安全性之后,如果您会发现在某种程度上bug或设计缺陷会使Tomcat不安全,则应将问题报告给Tomcat委员会。先不要将存在问题的信息邮寄到公开论坛上,因为黑客会在您发出信息的同时攻击未修补的Tomcat。相反,您首先应发邮件到以告知Tomcat委员会这一信息。这是一个私有邮件的别名,该地址所接受的所有邮件信息只会转给Tomcat委员会,它负责处理 安全防护问题但是,在发送邮件之间,您应阅读本章的主要内容,还要在互眹网上捜索,以查看是否已有其他人在讨论这问题。在这里,笔者复习一些安全防护的话题, 这些内容会给您的问题提供一些答案。

在简要地介绍运行Tomcat的服务器端机器的基本安全防护观念之后,笔者将讨论Tomcat内部的安全防护问题。笔者会关注操作系统(与您运行的操作系统有所分别)及程序 语言的问题。接着,会描述Apache 与Tomcat之间相冲突的安全防护策略,然后,笔者展示Tomcat内建的SecurityManager的工作原理,以及如何在Tomcat中设定并使用 安全防护策略。再然后,笔者会详细讨论操作系统级的chroot Tomcat安全防护机制。接下来,讨论了过滤恶意用户输入,并展示了可用来过滤黑客程序代码的Tomcat门限 (Value)。最后,笔者会说明为使用SSL如何配置独立的Tomcat Web服务器,从而可用作安全(针对HTTPS)的Web服务器。

关注微信获取最新动态