House of sysadmins
Seguridad en TomCat público
Buenas,
En mi empresa tenemos varios proyectos en Apache TomCat, que están expuestos en internet, para que los clientes puedan ir viendo el desarrollo.
A parte de no dejar el usuario y contraseña por defecto, ¿que más acciones habría que hacer para garantizar la seguridad?
Gracias por adelantado
Un saludo
En mi empresa tenemos varios proyectos en Apache TomCat, que están expuestos en internet, para que los clientes puedan ir viendo el desarrollo.
A parte de no dejar el usuario y contraseña por defecto, ¿que más acciones habría que hacer para garantizar la seguridad?
Gracias por adelantado
Un saludo
Respuestas a esta discusión
-
Permalink Responder para Javito el -
buenos dias, te recomiendo que leas la guia de fortificando un servidor apache de el maligno
Chema Alonso
Un Saludo
-
Permalink Responder para Iñaki R. el -
Buenas,
la guía que comenta Javito está bien aunque yo discrepo en algunos puntos. No te recomendaría compilar, la instalación desde paquete es más sencilla y fácil de mantener, sobre todo si no tienes una política de actualizaciones. Los cambios que hace en la guía se pueden hacer también con mod_security y la verdad, dudo que sirva de mucho si te hacen un fingerprinting del servidor web, aunque siempre ayuda cambiar los banners. Otras cosillas que se me ocurren:
- Quita todos los directorios por defecto (images, docs,...)
- Instala mod_security y déjalo logueando solo unos días o una semana. Hay reglas genéricas pero cada aplicación requiere un tunning. Los logs te dirán qué reglas podrían darte problemas.
- Si integras apache con tomcat, procura que tu tomcat use la ip de loopback.
- Cuando termines de configurarlo, pasa algo como nikto contra todas las ips del servidor y sus host virtuales. Puede que te hayas dejado algo en el tintero (a mi me pasa xD)
- Si lo merece, contrata a una empresa que te haga el pentesting/apptesting. El 90% de las alertas de seguridad que yo he tenido han sido por una mala programación, no por una versión desactualizada del software que la sirve.
- De esto último se deduce... TENER UNA POLITICA DE ACTUALIZACIONES ES VITAL PARA DORMIR MEJOR (y automatizarla es la panacea)
- Por si a alguien le pica, el otro 10% han sido troyanos en las máquinas del cliente que roban passwords :P
Hay os dejo mis 2 centimos de euro (en inglés queda más "cool" xD)
Saludos
-
Permalink Responder para Javito el
-
Gracias Iñaki, hace mucho que no uso Tomcat, pero me acorde esa guia y la puse.
Un Saludo
Bienvenido a
House of sysadmins
Acerca de
Distintivo
¿DESEA PUBLICAR UNA OFERTA DE TRABAJO?
House of Sysadmins es una red especializada del sector IT.
Póngase en contacto con nosotros y le ayudaremos en su búsqueda.
contáctanos
Póngase en contacto con nosotros y le ayudaremos en su búsqueda.
contáctanos
Patrocinadores oficiales
RECOMENDADOS
-Proyecto Metal 2.0
-Administrador de Sistemas
-Seguridad Informática (red social)
-Red de sysadmins (versión en inglés)
-Administrador de Sistemas
-Seguridad Informática (red social)
-Red de sysadmins (versión en inglés)
Vídeos
-
-
Windows Vista
Añadido por logadmin
-
El amigo informático
Añadido por Albert Farré Puche
© 2009 Creado por logadmin en Ning. Crear tu propia red social
Emblemas | Reportar un problema | Privacidad | Términos de servicio
