Назад | Перейти на главную страницу

Что более безопасно: автономный Tomcat или Tomcat за Apache?

Этот вопрос не ни о производительности, ни о балансировке нагрузки и т. д.

Что было бы безопаснее: запуск Tomcat в автономном режиме или запуск Tomcat за apache?

Дело в том, что Tomcat написан на Java, и, следовательно, он в значительной степени невосприимчив к переполнению / переполнению буфера (если не может быть вызвано переполнение буфера в библиотеке, написанной на C, используемой Tomcat, но они редки [последнее, что я помню, было в zlib, много-много месяцев назад] и одна чертова хитрость, которую можно использовать), которая избавляет от множества потенциальных эксплойтов.

Эта страница:

http://wiki.apache.org/tomcat/FAQ/Security

говорит следующее:

Не было публичных случаев ущерба, нанесенного компании, организации или физическому лицу из-за проблем с безопасностью Tomcat ... были обнаружены только теоретические уязвимости. Все они были устранены, несмотря на то, что не было задокументированных случаев фактического использования этих уязвимостей.

Это, в сочетании с тем фактом, что переполнение / переполнение буфера практически не существует в Java, заставляет меня полагать, что Tomcat в автономном режиме довольно безопасен.

В дополнение к этому, я могу установить как Java, так и Tomcat в Linux без необходимости быть root. Единственный момент, когда мне нужно быть root, - это настроить пересылку прозрачного порта 8080 на порт 80 (и с 8443 на 443). Две строки iptables от имени root, это все, что нужно для root. (Я не знаю для Apache).

Apache используется гораздо чаще, чем Tomcat и определенно не имеет такой же хорошей репутации в сфере безопасности, как Tomcat.

Что бы сделать Tomcat + Apache Больше безопасный?

Что бы сделать Tomcat + Apache Меньше безопасный?

Вкратце: что более безопасно, Tomcat отдельно или Tomcat с Apache? (помня, что производительность здесь не проблема)

Немного предыстории по этому поводу, здесь, в списке рассылки Tomcat в 2007 году:

http://mail-archives.apache.org/mod_mbox/tomcat-users/200710.mbox/%3C470F655D.9060401@schoenhaber.de%3E

Короткий ответ: если вы не видите веских причин для активного размещения httpd перед Tomcat, скорее всего, их нет.

в заявлении иногда можно прочитать, что вам следует всегда поставить httpd перед Tomcat - полная чушь, IMO. Верно и обратное.

Что сделает Tomcat + Apache менее безопасным?

  1. Большая поверхность атаки. Дополнительный код анализирует запрос. Таким образом, существует большая вероятность того, что ошибка безопасности будет обнаружена / использована.
  2. Больше исправлений для установки, больше файлов конфигурации для правильной настройки и дополнительные настройки безопасности для правильной настройки. Больше шансов на человеческую ошибку.

Что сделает Tomcat + Apache более безопасным?

Не знаю.