Что является более безопасным: автономный Tomcat или Tomcat за Apache?

Question

Что является более безопасным: автономный Tomcat или Tomcat за Apache?

Этот вопрос не о производительности, не о балансировке нагрузки и т. Д.

Что может быть более безопасным: запуск Tomcat в автономном режиме или запуск Tomcat за Apache?

Дело в том, что Tomcat написан на Java, и, следовательно, он в значительной степени невосприимчив к переполнению / переполнению буфера (если переполнение буфера в C-записанной библиотеке, используемой Tomcat, не может быть запущено, но они редки [последнее, что я помню, было в zlib, много-много лун назад] и чертовски хак, который фактически эксплуатируется), что избавляет от множества потенциальных эксплойтов.

Эта страница:

http://wiki.apache.org/tomcat/FAQ/Security

имеет это сказать:

Публичных случаев нанесения ущерба компании, организации или частному лицу из-за проблем безопасности Tomcat не было... обнаружены только теоретические уязвимости. Все они были рассмотрены, несмотря на то, что не было задокументированных случаев фактического использования этих уязвимостей.

Это, в сочетании с тем фактом, что переполнение / переполнение буфера практически отсутствует в Java, заставляет меня поверить, что Tomcat в автономном режиме довольно безопасен.

В дополнение к этому, я могу установить как Java, так и Tomcat на Linux без необходимости быть пользователем root. Единственный момент, когда мне нужно быть суперпользователем, - это настроить прозрачный порт 8080 для переадресации порта 80 (и с 8443 до 443). Две строки iptables от имени root, вот и все, для чего нужен root. (Я не знаю, для Apache).

Apache используется гораздо чаще, чем Tomcat, и, безусловно, не имеет такого же уровня безопасности, как Tomcat.

Что сделает Tomcat + Apache более безопасным?

Что сделает Tomcat + Apache менее безопасным?

Короче говоря: что является более безопасным, Tomcat автономно или Tomcat с Apache? (помня, что производительность здесь не проблема)

Немного предыстории на эту тему, здесь, в списке рассылки Tomcat в 2007 году:

http://mail-archives.apache.org/mod_mbox/tomcat-users/200710.mbox/%3C470F655D.9060401@schoenhaber.de%3E

Короткий ответ: если вы не видите веской причины активно размещать httpd перед Tomcat, то, скорее всего, его нет.
Утверждение, что иногда можно прочитать, что вы всегда должны ставить httpd перед Tomcat, - полная ерунда IMO. Противоположность верна.

3

apache-2.2 tomcat java

Источник

NoozNooz42 10 июн '10 в 19:14

1 ответ

Решение

Другие вопросы по тегам apache-2.2 tomcat java

Igal Serban 10 июн '10 в 19:48 2010-06-10 19:48 · Accepted Answer · 2010-06-10 19:48

Что сделает Tomcat + Apache менее безопасным?

Большая поверхность атаки. Больше кода разбирает запрос. Таким образом, существует большая вероятность того, что ошибка безопасности будет обнаружена / использована.
Больше исправлений для установки, Больше файлов конфигурации, чтобы получить правильные и больше настроек безопасности, чтобы получить право. Большой шанс человеческой ошибки.

Что сделает Tomcat + Apache более безопасным?

Не знаю