Tomcat 質問集

セキュリティ

ここでは、セキュリティ問題の話題を取り上げていますが、まずは役に立つリンクをいくつか紹介しましょう ...

• Using OpenSSL to set up your own CA
  ( 訳: OpenSSLを使って独自のCAをセットアップする )

• えぇ！ ローカルホスト上の誰でも8005番ポートにアクセスしてTomcatを停止できちゃうんですけど！
• Tomcatをroot権限で実行させるとどうなるの？
• すべてのページを安全な通信の元で動作させるには、どうしたらいいの？
• ManagerやAdminアプリケーションのデフォルトログインユーザは何なの？
• IPアドレスまたはリモートホストでアクセス制限するには、どうしたらいいの？

えぇ！ ローカルホスト上の誰でも8005番ポートにアクセスしてTomcatを停止できちゃうんですけど！

これら２件の議論を参照してください。

• Possible too switch off tcp/ip server shutdown?
  ( 訳: TCP/IPを使ったサーバ停止を無効にすることは可能？ )
• Tomcat shutdown & security
  ( 訳: Tomcatのシャットダウンとそのセキュリティ )

Tomcatをroot権限で実行させるとどうなるの？

これらのスレッドを参照してください。

• Tomcat as root and security issues
  ( 訳: Tomcatをroot権限で実行することとそのセキュリティ問題 )

すべてのページを安全な通信の元で動作させるには、どうしたらいいの？

web.xmlにあるsecurity-constraintタグを使ってください。

ManagerやAdminアプリケーションのデフォルトログインユーザは何なの？

AdminおよびManagerアプリケーションでは、デフォルトのログインユーザを提供していません。 そうすることは、セキュリティ上の欠陥にもなります。 デフォルトインストールのままで使用する場合は、$CATALINA_HOME/conf/tomcat-users.xmlを編集する必要があります。

[リンク] Managerアプリケーションのアクセス方法を設定する (英語)

IPアドレスまたはリモートホストでアクセス制限するには、どうしたらいいの？

RemoteHostValveまたはRemoteAddrValveを使うことによって実現できます。 警告しておきますが、これらのバルブは、正確なIPアドレスまたはホスト名を受け入れるものと信じています。 そのため、嘘情報に対する犠牲を伴うかもしれません！

[リンク] バルブに関するリファレンス (英語)