Noo*_*z42 3 tomcat java apache-2.2
这个问题是不是对性能,也无法左右的负载平衡等。
哪个更安全:在独立模式下运行 Tomcat 还是在 apache 后面运行 Tomcat?
问题是,Tomcat 是用 Java 编写的,因此它几乎不受缓冲区溢出/溢出的影响(除非可以触发 Tomcat 使用的 C 编写的库中的缓冲区溢出,但它们很少见[我记得的最后一个是在 zlib 中,许多个月以前] 和一个真正利用的黑客),它消除了许多潜在的漏洞。
这一页:
http://wiki.apache.org/tomcat/FAQ/Security
有话要说:
没有因为 Tomcat 安全问题对公司、组织或个人造成损害的公开案例......只发现了理论上的漏洞。尽管没有实际利用这些漏洞的记录案例,但所有这些问题都得到了解决。
这一点,再加上 Java 中几乎不存在缓冲区溢出/溢出的事实,让我相信 Tomcat 在独立模式下是非常安全的。
除此之外,我可以在 Linux 上安装 Java 和 Tomcat,而无需成为 root。我需要成为 root 的唯一时刻是设置一个透明端口 8080 到端口 80 转发(以及 8443 到 443)。两个 iptables 行作为 root,这就是所有 root 所需要的。(我不知道 Apache)。
Apache 的使用比 Tomcat 多得多,而且绝对没有 Tomcat 那样好的安全记录。
什么会使 Tomcat + Apache更安全?
是什么让的Tomcat + Apache的少的安全?
简而言之:Tomcat 独立还是 Tomcat 和 Apache 哪个更安全?(记住这里的性能不是问题)
关于这个主题的一些背景,这里是 2007 年的 Tomcat 邮件列表:
简短回答:如果您没有看到积极地将 httpd 放在 Tomcat 前面的令人信服的理由,那么很可能没有。
人们有时会读到你应该总是在 Tomcat 前面放一个 httpd的说法完全是无稽之谈。事实正好相反。
2021 年更新:
我不喜欢我的旧答案。我不改变它。但我不喜欢。
2010 更新前:
什么会降低 Tomcat + Apache 的安全性?
什么会使 Tomcat + Apache 更安全?
不知道。
| 归档时间: |
|
| 查看次数: |
2433 次 |
| 最近记录: |