xrcwrn Asked: 2015-08-30 02:11:54 +0800 CST2015-08-30 02:11:54 +0800 CST 2015-08-30 02:11:54 +0800 CST 与tomcat一起使用是否需要使用nginx服务器 772 在使用apache tomcat之前是否需要安装nginx服务器。我们可以只使用 apache tomcat 是否有任何优点缺点哪个选择更好以及为什么。我正在使用 fedora 22 在 tomcat 8 for java 应用程序上部署我的应用程序 nginx 3 个回答 Voted Best Answer Falcon Momot 2015-08-30T02:57:23+08:002015-08-30T02:57:23+08:00 如果你愿意,你可以只使用 tomcat。但是,要小心! Tomcat 是一个 servlet 容器。它使用 JSSE 实现 TLS,默认情况下它在网络上公开管理服务。它还存在大量安全漏洞(例如,参见https://tomcat.apache.org/security-7.html )。它有点慢,而且非常复杂。 我向我的客户推荐的安全做法是在它前面运行一些其他 Web 服务器,除非他们使用客户端证书身份验证。另一个 Web 服务器可以充当缓存代理和验证代理(几乎但不完全是 Web 应用程序防火墙),可以卸载 SSL,允许您使用 openssl 而不是 JSSE,有时甚至可以进行负载平衡。这些都是很好的功能。 Tomcat 的架构也存在问题。例如,它只能通过以 root 身份运行(非常糟糕)或使用 authbind 机制(在 tomcat 8 之前不支持 IPv6)来使用特权端口。它需要持续访问其 TLS 密钥和包含用于加密它们的密码的配置文件,这是每个主要 Web 服务器都可以缓解的次要安全风险。 您用作代理的内容并不重要。任何有能力的 HTTP 守护程序就足够了。不过,我还建议使用 Web 应用程序防火墙来过滤请求。 h22 2015-08-30T05:48:02+08:002015-08-30T05:48:02+08:00 可以单独使用 Tomcat,但是您需要避免一些明显的错误。最重要的 在具有最低权限的单独用户帐户上运行 Tomcat。 不以 root 身份运行时,Tomcat 将无法绑定特权端口,这是一个很好的安全功能,不是问题。这些天我通常使用xinetd来移动端口。我之前使用过iptables,它更复杂但也可以正常工作。 不要忘记定期更新 Tomcat 和 Java。 用防火墙阻止所有可能的端口,尤其是各种“远程管理”。只留下您真正需要和使用的。 想都别想 以 root 身份运行 Tomcat。 离开任何 Tomcat Web 管理界面。立即卸载。他们从未提供过任何我们无法从命令行更快地完成的事情。 在没有防火墙的情况下运行。 我认为 Tomcat 的配置和维护并不复杂,但这可能是因为我使用了多年。说到安全问题,每台服务器都会时不时出现问题,并且会定期修复发现的问题。只是谷歌。 Vignesh 2018-06-28T05:31:15+08:002018-06-28T05:31:15+08:00 不需要在Tomcat 之前添加 nginx。
如果你愿意,你可以只使用 tomcat。但是,要小心!
Tomcat 是一个 servlet 容器。它使用 JSSE 实现 TLS,默认情况下它在网络上公开管理服务。它还存在大量安全漏洞(例如,参见https://tomcat.apache.org/security-7.html )。它有点慢,而且非常复杂。
我向我的客户推荐的安全做法是在它前面运行一些其他 Web 服务器,除非他们使用客户端证书身份验证。另一个 Web 服务器可以充当缓存代理和验证代理(几乎但不完全是 Web 应用程序防火墙),可以卸载 SSL,允许您使用 openssl 而不是 JSSE,有时甚至可以进行负载平衡。这些都是很好的功能。
Tomcat 的架构也存在问题。例如,它只能通过以 root 身份运行(非常糟糕)或使用 authbind 机制(在 tomcat 8 之前不支持 IPv6)来使用特权端口。它需要持续访问其 TLS 密钥和包含用于加密它们的密码的配置文件,这是每个主要 Web 服务器都可以缓解的次要安全风险。
您用作代理的内容并不重要。任何有能力的 HTTP 守护程序就足够了。不过,我还建议使用 Web 应用程序防火墙来过滤请求。
可以单独使用 Tomcat,但是您需要避免一些明显的错误。最重要的
想都别想
我认为 Tomcat 的配置和维护并不复杂,但这可能是因为我使用了多年。说到安全问题,每台服务器都会时不时出现问题,并且会定期修复发现的问题。只是谷歌。
不需要在Tomcat 之前添加 nginx。