sabato, Dicembre 21, 2024

Debian + Apache + Tomcat + Iptables

Giovanni "Jinko" Uccio
Giovanni "Jinko" Ucciohttps://ie.linkedin.com/in/giovanniuccio
- Software Engineer - Debian Evangelist - Escalation Engineer - Debianizzati.org

Introduzione

In questo articolo illustrerò come configurare su un sistema Debian 5.0 l’accesso ad un applicazione web sviluppata in java con l’utilizzo di apache tomcat servlet container, apache web server ed istruendo il firewall (netfilter) tramite iptables.

Informazioni sul sistema

OS: Gnu/Linux Debian 5.0 x86_64
Kernel:  2.6.26-2-amd64
Apache: 2.2.9
Mod JK Version: 1.2.28

Modulo interessato

Per far gestire tocmat all’interno del contesto apache web server abbiamo bisogno di un del modulo JK , che installeremo con il seguente comando:

apt-get install libapache2-mod-jk

Installazione

procediamo ala creazione del file workers.properties in /etc/apache2/workers.properties:

nano /etc/apache2/workers.properties

all’interno inseriremo le seguenti righe:

workers.tomcat_home=/usr/local/tomcat6
workers.java_home=/usr/local/java
ps=/
worker.list=worker1

worker.worker1.port=8009
worker.worker1.host=localhost
worker.worker1.type=ajp13
worker.worker1.lbfactor=1

ed eseguiamo:

chmod 400 workers.properties

configuriamo adesso il file /etc/apache2/apache2.conf , in modo da poter utilizzare il file precedentemente creato, e aggiungiamo alla fine del file queste righe:

#Worker properties file
JkWorkersFile /etc/apache2/workers.properties

#Logging
JkLogFile /var/log/apache2/mod_jk.log

#Set the jk log level [debug/error/info]
JkLogLevel info

editare il file /etc/apache2/site-avaible/default aggiungendo queste righe al VirtualHost inetressato:

JkMount /Application1 worker1
JkMount /Application1/* worker1

JkMount /Application2  worker1
JkMount /Application2/* worker1

andiamo ora a disabilitare la porta 8080 sul quale tomcat usualmente si mette in ascolto visto che abbiamo affidato le nostra applicazioni all’ apache web server, commentiamo il seguente blocco all’interno del file conf/server.xml, racchiudendolo nel commento <!- – (blocco) – ->

<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />

ripassiamo di nuovo alla configurazione di apache e disabilitiamo il browsing delle directory editando /etc/apache2/site-avaible/default all’interno del blocco <Directory /var/www/> :

alla voce "allow from all" cambiarla con "deny from all"

un altra cosa interessante che ci potrebbe venire in mente di fare è quella di abilitare il modulo SSL in apache in modo sa abiltiare al le connessioni sicure su protocollo https. e quindi abiltiamo il modulo:

a2enmod ssl

abilitiamo il default-ssl site in questo modo:

a2ensite default-ssl
/etc/init.d/apache2 reload

Configurazione netfilter tramite iptables

Andremo ora ad istruire iptables in modo da permettere solo il traffico per le connessioni
che verranno stabilite sulla porta 80 per il protocolo http.

Salviamo la nostra vecchia configurazione che è sempre cosa buona e giusta:

iptables-save > /etc/iptables_rules_old

creiamo un file chiamamo iptables_rules:

nano /etc/iptables_rules

all’interno ci isneriamo il seguente contenuto:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT

salviamo il file ed usciamo, andiamo adesso ad utilizzare questo file per istruire il nostro firewall:

iptables-restore < /etc/iptables_rules

Test

Per testare che tutto sia andato a buon fine, aprire un internet browser e digitare nella barra degli indirizzi:

http://ip_server/Application1

oppure

https://ip_server/Application1

Abbiamo terminato la nostra configurazione per un server web funzionante, come sempre questo è uno dei modi , una delle configurazioni che si possono avere in questo ampio contesto.
Non sono stato li a spiegare ogni minimo passaggio cosa che a mio avviso stimola la curiosità cosa che risulta essere sempre positiva.

Articoli correlati

Noleggia una Tesla per il tuo evento ICT!

Categorie