Página de administración de Apache Tomcat

Ciertamente creo que es una mala idea. Se han encontrado varios problemas de seguridad en el pasado. Nunca lo ejecutaría en un servidor de producción.

En un sistema expuesto, desea minimizar la superficie de ataque y reducir la cantidad de cosas que debe observar o parchear para detectar vulnerabilidades conocidas. Esto viola ambos principios.

Como afirma @TheFiddlerWins, es una mala idea desde el punto de vista de la seguridad. Cuantos menos servicios estén expuestos, menos oportunidades habrá de comprometer su sistema.

Piense en que hay toneladas de robots que simplemente intentan explotar errores comunes que circulan por su servidor con frecuencia.

Sólo exponería con algunas precauciones, como:

• Restringir el acceso solo a sus IP
• Proteger con nombre de usuario y contraseña
• Cambie la RUTA (algo aleatorio como /djah8hueqwy7, no se preocupe, su navegador lo recordará fácilmente)

Todos estamos de acuerdo aquí en decir que cuanto menos superficie expongas, menos vulnerable serás a los ataques.

Exponer ampliamente una página de administración de cualquier tipo es principalmente una mala idea.

Exponer su aplicación Tomcat es suficiente, no es necesario agregar una superficie de ataque adicional que exponga su página de administración de Tomcat.

Los ataques pueden ser de varios tipos y no limitarse únicamente a la fuerza bruta.

Podrías exponerte a otros tipos como:

• Ataques de intermediario
• Inyección de contenido malicioso (XSS, inyección SQL)
• Sniff y grabación de tráfico
• Secuestro de sesión

Si realmente desea exponer esta página, puede considerar implementar algún mecanismo de seguridad, por ejemplo:

• Implementar SSL (https)
• Limitar el acceso a un número restringido de direcciones IP
• Monitorear el acceso a la página de administración, para al menos recibir un correo electrónico/sms cuando se modifique
• Registra todo (acceso, modificación)