Deaktivieren Tomcat7-Manager

Web-interface http://localhost:8080/manager/html. Gibt es eine Möglichkeit zu deaktivieren oder vollständig zu entfernen? Frage nur, damit ich nicht Durcheinander einige Einstellungen durch gehen in die und löschen Dinge, die nolens volens.

Grund, warum ich möchte, um loszuwerden, ist es, weil die server immer gesperrt wegen dem, was ich denke, ist bösartige scripts-brute Force das Passwort. Es sperrt und sichert sich, aber ich bin auch nicht bewusst, das passiert ist, bis ich manuell zu überprüfen. Ich glaube nicht, verwenden Sie den web-manager, so dass ich vermute, der beste Weg, um dieses Problem zu lösen ist, um Sie nur loszuwerden, es vollständig. Das sagte, wenn Sie einen anderen Vorschlag haben, wäre ich offen zu, wie gut. Ich habe versucht, die Einrichtung eines RemoteAddrValve in manager.xml wie das unten, aber ich bin immer noch mit dem Thema.

//I changed the ip address for this example.
<Context path="/manager" 
    docBase="/usr/share/tomcat7-admin/manager" 
    antiResourceLocking="false" privileged="true">

    <Valve className="org.apache.catalina.valves.RemoteAddrValve"
    allow="0\.0\.0\.0" denyStatus="404" />
</Context>
Es sollte allow="127.0.0.1" sicher?
Ich wollte, um zu versuchen und erhalten die Möglichkeit zum login via meine dev-Maschine, so habe ich meine statische ip. Der remote-server ist, so kann ich nicht darauf zugreifen, es lokal.
0.0.0.0 ist nicht eine statische IP-Adresse.

InformationsquelleAutor ryandlf | 2016-01-29

  1. 1

    Pro die Tomcat 7 Dokumente:

    "Die Manager-Anwendung ist standardmäßig nicht verfügbar, da keine Benutzer konfiguriert sind, mit den nötigen Zugang."

    Wenn Sie denken, es ist ein aktivierter Benutzer in der manager-app, können Sie Bearbeiten $CATALINA_BASE/conf/tomcat-users.xml. Einfach Kommentar oder entfernen Sie aktive Rollen oder Benutzernamen in die Datei und starten Sie den server neu, um zu verhindern, dass der Zugriff auf die Manager-app.

    Einen anderen Ansatz pro OWASP (etwas veraltet) ist, benennen Sie Ihre manager-app. Dies ist ein "security-by-obscurity" - Ansatz, aber könnte funktionieren, wenn einige botnet nur zufällig gezielte Ihrem server.

    Schließlich getestet habe ich das entfernen der manager webapp auf Tomcat7 und Prellen den server. Der Tomcat-Beispiel webapp lief fein nach, so dass ich vermute, Sie können entfernen Sie die manager mit keine schlechten Auswirkungen, so lange, wie Sie nicht hängen Sie zum bereitstellen von webapps.

    Auch, die docbase-verwendet, in der Sie Ihre remoteAddrValve sieht seltsam aus. Ich würde erwarten, dass es /usr/share/tomcat7-admin/webapps/manager, es sei denn, Sie haben gegangen durch die Schwierigkeiten, ändern Sie die docbase für Ihre ganze server.

    Ich habe keine Benutzer-setup. Ich denke, es zeigt immer noch ein login-Fenster, wenn brute-forced lock tomcat.
    Es sendet eine basic-auth-Antwort zurück an den client, aber wie kann es sein, brute-gezwungen, wenn es keine Benutzer aktiviert, und somit kein funktionierendes Passwort?
    Ich bin mir ziemlich sicher, dass auf der Grundlage der access-logs, was passiert ist, etwas ist der Zugriff auf die manager, ein login-Fenster öffnet sich, und Sie nur versuchen, das Passwort nach Passwort, bis tomcat sperren komplett. Es blockiert den Zugriff, aber es macht es auch, wo meine Anwendungen nicht mehr reagiert.
    Was ist mit entfernen Sie es vollständig, so dass es zeigt nur 404? Ich finde keine Dokumentation.
    Ah, vielleicht jemand tun einer DDOS-Attacke, die unter Verwendung aller verfügbaren threads für tomcat, damit verhindern, dass der Zugang zu anderen apps. Zum entfernen des MANAGERS, die ich gesehen habe dass gemacht mit Tomcat 4? mit keine negativen Auswirkungen. Ich weiß nicht, was passieren würde, Tomcat 7. Ich vermute, nichts, aber möchten Sie vielleicht versuchen, mit einem test-server.

    InformationsquelleAutor lreeder

Schreibe einen Kommentar