我计划让Tomcat (8.5)管理器可以通过这样的子域访问:https://tomcat.mydomain.com。
正如你所看到的,连接是通过HTTPS进行的,但是,这是否构成了安全风险,并被认为是“糟糕的做法”?
我确实注意到的一点是,通过查看mydomain.com的证书,您可以看到https://tomcat.mydomain.com确实存在。这意味着默默无闻并没有太多的安全性。
当然,设置正确的tomcat帐户并使用密码进行保护是很重要的,我有一个密码。
发布于 2018-06-10 02:21:28
拥有可公开访问的端点本身并不存在安全风险。不过,在决定是否公开管理接口时,可能还需要考虑其他一些因素:
一般来说,我通常选择不向公众公开管理接口。在访问任何管理接口之前,我几乎总是要求管理用户通过一些其他的门,比如ssh隧道(只有公钥访问),然后他们大多数也会通过该接口进行第二次身份验证(即,您不会因为建立了隧道而自动受到信任)。
如果我要向公众公开一个管理界面,我想除了基于密码的身份验证之外,我还想要一些东西。应该涉及其他一些因素,无论是像TOTP或类似的常见2FA解决方案,还是TLS客户端证书(“相互身份验证”)。
有一个关于升级您的凭据安全性的presentation on the Tomcat web site。其中有示例代码和配置,用于说明如何在Tomcat现有的身份验证系统中设置TOTP。您可能希望阅读该演示文稿,并考虑是否要向管理界面添加这样的保护。
https://stackoverflow.com/questions/50775954
复制相似问题