Страница администрирования Apache Tomcat

Я определенно считаю, что это плохая идея. В прошлом было обнаружено несколько проблем безопасности. Я бы никогда не запустил его на рабочем сервере.

На открытой системе вы хотите минимизировать поверхность атаки и сократить количество вещей, которые вам нужно отслеживать/исправлять для известных уязвимостей. Это нарушает оба этих принципа.

Как заявил @TheFiddlerWins, это плохая идея с точки зрения безопасности. Чем меньше сервисов открыто, тем меньше возможностей скомпрометировать вашу систему.

Подумайте о том, что на вашем сервере постоянно бродит множество роботов, пытающихся воспользоваться распространенными ошибками.

Я бы только высказал некоторые предостережения, например:

• Ограничение доступа только к вашим IP-адресам
• Защитите с помощью имени пользователя и пароля
• Измените PATH (на что-то случайное, например /djah8hueqwy7, не волнуйтесь, ваш браузер легко это запомнит)

Мы все согласны с тем, что чем меньше вы открываете свою внешность, тем менее вы уязвимы для атак.

Широкое распространение любой страницы администратора — это, как правило, плохая идея.

Достаточно раскрыть ваше приложение Tomcat, нет необходимости добавлять дополнительную поверхность атаки, раскрывая вашу страницу администратора Tomcat!

Атаки могут быть разных типов и не ограничиваться только грубой силой.

Вы можете подвергнуть себя воздействию других типов, таких как:

• Атаки «человек посередине»
• Внедрение вредоносного контента (XSS, SQL-инъекция)
• Снифф и запись трафика
• Перехват сеанса

Если вы действительно хотите раскрыть эту страницу, вы можете рассмотреть возможность внедрения какого-либо механизма безопасности, например:

• Внедрить SSL (https)
• Ограничить доступ к ограниченному количеству IP-адресов
• Контролировать доступ к странице администратора, чтобы по крайней мере получать электронное письмо/смс при ее изменении.
• Регистрируйте все (доступ, изменение)