Quando si pubblica un’installazione con Tomcat ci sono alcuni accorgimenti da usare per aumentare il livello di sicurezza, consiglio la lettura della documentazione ufficiale qui i punti principali sono:
- L’utente usato per il servizio di Tomcat non dovrebbe essere in alcun caso root ma bensì un utente creato all’uopo e dotato del set minimo di permessi atto a fare il suo lavoro, ad esempio non deve avere il permesso di fare login da remoto e deve poter acedere solo ai file strettamente necessari.
- Rimuovere l’applicazione ROOT installata di default per evitare di dichiarare la versione di Tomcat installata e pensare all’eventuale visualizzazione di default.
- Rimuovere la documentazione infatti anche questa può rivelare la versione di Tomcat in uso.
- Per le stesse ragioni dei due punti precedenti rimuovere gli esempi installati riduce comunque la superfice di attacco: anche se oggi non sono noti problemi legati alle applicazioni di esempio installate non è detto che altri problemi possano essere scoperti in futuro.
- Togliere dai file di configurazione del sistema (ad esempio: Server.xml) i comandi commentati, se da una parte questi sono comodi in fase di sviluppo perché togliendo il commento si possono attivare le varie opzioni velocemente in fase di produzione c’è il rischi odi non accorgersi di aver attivato qualche opzione lasciando così aperte le porte per un attacco informatico.
- Tutti gli utenti del sistema devono avere una politica delle password conforme alle normative vigenti: password forte (minuscole, maiuscole, caratteri di punteggiature e numeri), cambio password almeno ogni 6 mesi, lunghezza minima 8, ecc…
- Disabilitare la porta di shutdown: in tomcat, di default, si può spegnere il servizio mandando il comando “SHUTDOWN” sulla porta 8005. Se questa funzionalità non viene usata è buona norma disabilitarla.
Buanasera a tutti
Andrea