Apache Tomcat 管理ページ

確かにそれは悪い考えだと思います。過去にはセキュリティ上の問題がいくつか見つかりました。実稼働サーバーでは決して実行しません。

公開されているシステムでは、攻撃対象領域を最小限に抑え、既知の脆弱性を監視したりパッチを適用したりする必要がある項目の数を減らす必要があります。これは、両方の原則に違反しています。

@TheFiddlerWins が述べているように、セキュリティの観点からはそれは悪い考えです。公開されるサービスが少ないほど、システムが危険にさらされる機会が少なくなります。

サーバー上で頻繁に発生する一般的なバグを悪用しようとするロボットが大量に存在することを考えてみてください。

次のようないくつかの注意事項を添えて公開します。

• IPアドレスのみへのアクセスを制限する
• ユーザー名とパスワードで保護する
• PATH を変更します (/djah8hueqwy7 のようなランダムな値でも、ブラウザが簡単に覚えてくれるので心配はいりません)

露出する表面が少なければ少ないほど、攻撃に対する脆弱性も低くなるということに、私たちは皆同意するでしょう。

どのような種類の管理ページでも広く公開することは、基本的に悪い考えです。

Tomcat アプリを公開するだけで十分です。Tomcat 管理ページを公開して追加の攻撃対象領域を追加する必要はありません。

攻撃には複数の種類があり、ブルートフォース攻撃に限定されるものではありません。

次のような他のタイプにも触れることができます:

• 中間者攻撃
• 悪意のあるコンテンツの挿入（XSS、SQL インジェクション）
• スニフとトラフィックの記録
• セッションハイジャック

本当にこのページを公開したい場合は、次のようなセキュリティ メカニズムを実装することを検討してください。

• SSL (https) を実装する
• 限られた数のIPアドレスへのアクセスを制限する
• 管理ページへのアクセスを監視し、変更があった場合は少なくともメール/SMSを受信する
• すべてをログに記録する（アクセス、変更）