Apache-2.2

哪個更安全:Tomcat 獨立版還是 Apache 後面的 Tomcat?

  • March 15, 2021

這個問題與性能無關,也與負載平衡等無關。

哪個更安全:以獨立模式執行 Tomcat 還是在 apache 後面執行 Tomcat?

問題是,Tomcat 是用 Java 編寫的,因此它幾乎不受緩衝區溢出/溢出的影響(除非可以觸發 Tomcat 使用的 C 編寫的庫中的緩衝區溢出,但它們很少見

$$ the last I remember was in zlib, many many moons ago $$和一個實際利用的黑客),它消除了許多潛在的漏洞。 這一頁:

http://wiki.apache.org/tomcat/FAQ/Security

有話要說:

沒有因 Tomcat 安全問題而對公司、組織或個人造成損害的公開案例……僅發現了理論上的漏洞。儘管沒有記錄實際利用這些漏洞的案例,但所有這些問題都得到了解決。

再加上 Java 中幾乎不存在緩衝區溢出/溢出這一事實,讓我相信獨立模式下的 Tomcat 非常安全。

除此之外,我可以在 Linux 上安裝 Java 和 Tomcat,而無需 root。我需要成為 root 的唯一時刻是設置一個透明埠 8080 到埠 80 轉發(以及 8443 到 443)。兩個 iptables 行作為 root,這就是所有 root 所需要的。(我不知道 Apache)。

Apache 比 Tomcat 使用得更多,而且絕對沒有 Tomcat 那樣好的安全記錄。

什麼會使 Tomcat + Apache安全?

什麼會使 Tomcat + Apache安全性降低?

簡而言之:Tomcat 獨立版還是 Tomcat 與 Apache 哪個更安全?(記住性能在這裡不是問題)

有關該主題的一些背景資訊,請參見 2007 年的 Tomcat 郵件列表:

http://mail-archives.apache.org/mod_mbox/tomcat-users/200710.mbox/%3C470F655D.9060401@schoenhaber.de%3E

簡短的回答:如果您沒有看到積極將 httpd 放在 Tomcat 前面的令人信服的理由,那麼很可能沒有。

有時可以讀到您應該始終將 httpd 放在 Tomcat 前面的說法完全是胡說八道 IMO。反之亦然。

2021 年更新:

我不喜歡我的舊答案。我沒有改變它。但我不喜歡它。

2010 年更新前:

什麼會使 Tomcat + Apache 的安全性降低?

  1. 更大的攻擊面。更多程式碼正在解析請求。因此,遇到/利用安全漏洞的可能性更大。
  2. 更多要安裝的修復程序,更多配置文件以獲得正確,更多安全設置正確。人為錯誤的機會更大。

什麼會使 Tomcat + Apache 更安全?

不知道。

引用自:https://serverfault.com/questions/150224