Tomcat における、セキュリティ上のベストプラクティス

The following outlines some basic techniques to secure an Apache Tomcat instance. This is a basic must-do list and should not be considered comprehensive. For more advanced security topics see the "Further Information" section below.

ユーザーアクセス権

Tomcat は、絶対に特権ユーザー (UNIX における root、あるいは Windows における Admistrator または Local System) として実行してはいけません。

Tomcat は、低権限のユーザーとして実行します。理想的には、単一のアプリケーションを実行する目的のためのみに作成されたユーザーとして実行されるべきです。

これは、実際にはポート 80 で実行できない事を意味します。Tomcat をポート 80 で実行する必要がある場合、Apache 等の Web サーバーの背後に配置します。構成例に関しては、Integrating JIRA with Apache を参照して下さい。

Unix/Linux のチートシート

• Create a JIRA user:
  sudo adduser jira-tomcat
• Run Tomcat as a specific user:
  sudo -u jira-tomcat ${CATALINA_HOME}/bin/catalina.sh run

Windows チートシート

• 非特権アカウントを作成します (お使いのホストがアクティブディレクトリの一部であれば、既にサービス利用者向けテンプレートが存在する場合があります)。ユーザーは、それに「サービスとしてログオン」する権限が与えられているはずです。
• Apache Tomcat サービスが、そのユーザーとして実行するよう設定されている事を確認します。JIRA の Windows インストーラー を利用して Tomcat がインストールされている場合、システムトレーのユーティリティが Configuration -> Log Onを介してこの設定を可能します:

tomcat_service_properties.png

Tomcat のインストールのパーミッション

Tomcat のインストレーションディレクトリ (CATALINA_HOME と呼ばれる場合もあります) は、Tomcat を実行するユーザーとは異なるユーザーとしてインストールする必要があります。Linux においては、Tomcat のディストリビューションを root としてアンパックするのが、これを行う最もシンプルな方法です。

残念ながら、Tomcat はディストリビューションディレクトリの一部のディレクトリに書込みアクセス権限を必要としますが、それは必要に応じてのみ有効化します。

Tomcat は、そのディレクトリ内の Admin アプリケーションがデフォルト設定された状態で出荷されます。必要でなければ、これらを無効化します。

Unix/Linux のチートシート

• Unpack Tomcat as root:
  sudo tar xzvf apache-tomcat-6.0.20.tar.gz
• Remove the default webapps:
  sudo rm -rf apache-tomcat-6.0.20/webapps/*
• Remove write permissions:
  sudo chmod -R go-w apache-tomcat-6.0.20
• Allow write on needed directories only:
  cd apache-tomcat-6.0.20/; sudo chown -R jira-tomcat work/ temp/ logs/

Windows チートシート

注意: お使いのホストがドメイン／アクティブディレクトリの一部である場合は、Windows システムアドミニストレーター sysadmins に問い合わせて、適切な許可を取得します。

• Unpack and install Tomcat, and update the permissions on CATALINA_HOME to be writeable by Administrators and System only. The Tomcat service user should have read, execute and directory traverse privileges
  tomcat_dir_perms.png
  
  tomcat_user_read_exec_privs.png

• Under CATALINA_HOME, the work, temp and logs directories need write and delete access for the Tomcat user. Make sure it does not have permissions to change permission or take ownership.
  log_work_temp_dir_perms.png

Web-アプリケーションのインストール権限

The directory you unpack the application WAR into should not be writable by the Tomcat user (i.e. jira-tomcat in the examples above). Again, the simplest method to do this is to unpack the WAR as root.

Unix/Linux のチートシート

• Unpack the war as root:
  sudo unzip confluence-webapp-3.2.war

Windows チートシート

• 自身のユーザーとして WAR をアンパックし、Tomcat ユーザーが webapp への書込みアクセスを所持していない事を確認します。

詳細情報

• Securing Tomcat at OWASP.
• Windows NT/2K/XP でTomcat を安全にするための重要ステップ
• Tomcat セキュリティのFAQ