Framework - Linha Datasul - TEC - Recomendação de segurança para as aplicações padrão do Tomcat

 Tempo aproximado para leitura: 00:02:29 min

Dúvida
Qual a recomendação de segurança para as aplicações padrão do Tomcat?

Ambiente
Framework - Framework (Linha Datasul) - Tomcat – Todas as versões

Solução
A instalação do Tomcat traz embutidas algumas aplicações. Estas aplicações estão disponíveis no diretório webapps, sendo possível configurá-las de acordo com as informações a seguir:

1. O diretório root armazena a página padrão do Tomcat. Esta página é exibida quando acessamos apenas o endereço e porta, sem fornecer o contexto. Em um ambiente de produção é desejável que esta página não esteja acessível. Por isso, recomendamos que este diretório seja removido.

2. Nos diretórios docs e examples estão disponíveis a documentação e exemplos do Tomcat, respectivamente. Apesar do risco de segurança ser baixo quando estes diretórios estão disponíveis no Tomcat, é recomendada a exclusão.

3. A aplicação manager exibe as aplicações que estão publicadas nesta instância do Tomcat, bem como permite a publicação de outras aplicações. Essa é a aplicação que mais exige cuidado, pois pode facilmente ser alvo de ataques. Por padrão não está acessível por nenhum usuário. Caso deseje acessar esta aplicação será necessário criar um usuário com a devida permissão.

4. A aplicação host-manager permite a criação de virtual hosts. Por padrão, também não está acessível por nenhum usuário, mas esta configuração também pode ser realizada, como na aplicação manager.

5. As informações de autenticação das aplicações manager e host-manager são armazenadas no arquivo conf/tomcat-users.xml. 

Saiba mais
Informações adicionais sobre as aplicações padrão do Tomcat, incluindo detalhamento para configuração de autenticação poderão ser encontradas em:
Configurações de autenticação
Apache Tomcat - Security Considerations