公開 Apache Tomcat 管理頁面是個壞主意嗎?除了暴力破解的可能性之外,是否還有其他與之相關的安全風險?
答案1
我當然認為這是一個壞主意。過去曾發現過一些安全問題。我永遠不會在生產伺服器上運行它。
在暴露的系統上,您希望最大限度地減少攻擊面並減少必須監視/修補已知漏洞的數量。這違反了這兩個原則。
答案2
正如 @TheFiddlerWins 所說,從安全角度來看這是一個壞主意。暴露的服務越少,破壞系統的機會就越少。
想像一下,有大量的機器人只是試圖解決經常在您的伺服器上傳播的常見錯誤。
我只會在公開時提出一些警告,例如:
- 僅限制對您的 IP 的訪問
- 使用使用者名稱和密碼進行保護
- 更改路徑(例如 /djah8hueqwy7 之類的隨機路徑,不用擔心您的瀏覽器會輕鬆記住)
答案3
我們都同意,暴露的表面越少,就越不容易受到攻擊。
廣泛公開任何類型的管理頁面基本上都是一個壞主意。
暴露您的 Tomcat 應用程式就足夠了,無需添加額外的攻擊面來暴露您的 Tomcat 管理頁面!
攻擊可以有多種類型,不僅限於暴力攻擊。
您可以讓自己接觸其他類型,例如:
- 中間人攻擊
- 惡意內容注入(XSS、SQL 注入)
- 嗅探和流量記錄
- 會話劫持
如果你真的想公開這個頁面,你可以考慮實作一些安全機制,例如:
- 實施 SSL (https)
- 限制對有限數量的 IP 位址的訪問
- 監控對管理頁面的訪問,至少在修改時收到電子郵件/短信
- 記錄一切(訪問、修改)