哪個更安全:Tomcat 獨立版還是 Apache 後面的 Tomcat?
這個問題與性能無關,也與負載平衡等無關。
哪個更安全:以獨立模式執行 Tomcat 還是在 apache 後面執行 Tomcat?
問題是,Tomcat 是用 Java 編寫的,因此它幾乎不受緩衝區溢出/溢出的影響(除非可以觸發 Tomcat 使用的 C 編寫的庫中的緩衝區溢出,但它們很少見
$$ the last I remember was in zlib, many many moons ago $$和一個實際利用的黑客),它消除了許多潛在的漏洞。 這一頁:
http://wiki.apache.org/tomcat/FAQ/Security
有話要說:
沒有因 Tomcat 安全問題而對公司、組織或個人造成損害的公開案例……僅發現了理論上的漏洞。儘管沒有記錄實際利用這些漏洞的案例,但所有這些問題都得到了解決。
再加上 Java 中幾乎不存在緩衝區溢出/溢出這一事實,讓我相信獨立模式下的 Tomcat 非常安全。
除此之外,我可以在 Linux 上安裝 Java 和 Tomcat,而無需 root。我需要成為 root 的唯一時刻是設置一個透明埠 8080 到埠 80 轉發(以及 8443 到 443)。兩個 iptables 行作為 root,這就是所有 root 所需要的。(我不知道 Apache)。
Apache 比 Tomcat 使用得更多,而且絕對沒有 Tomcat 那樣好的安全記錄。
什麼會使 Tomcat + Apache更安全?
什麼會使 Tomcat + Apache的安全性降低?
簡而言之:Tomcat 獨立版還是 Tomcat 與 Apache 哪個更安全?(記住性能在這裡不是問題)
有關該主題的一些背景資訊,請參見 2007 年的 Tomcat 郵件列表:
簡短的回答:如果您沒有看到積極將 httpd 放在 Tomcat 前面的令人信服的理由,那麼很可能沒有。
有時可以讀到您應該始終將 httpd 放在 Tomcat 前面的說法完全是胡說八道 IMO。反之亦然。
2021 年更新:
我不喜歡我的舊答案。我沒有改變它。但我不喜歡它。
2010 年更新前:
什麼會使 Tomcat + Apache 的安全性降低?
- 更大的攻擊面。更多程式碼正在解析請求。因此,遇到/利用安全漏洞的可能性更大。
- 更多要安裝的修復程序,更多配置文件以獲得正確,更多安全設置正確。人為錯誤的機會更大。
什麼會使 Tomcat + Apache 更安全?
不知道。