Tomcat 에 대해 알아보겠습니다.

Ⅰ. Tomcat이란?

 Apache Tomcat(보통 Tomcat으로 불림)은 Java 서블릿과 JavaServer Pages(JSP)를 구동하는 웹 애플리케이션 서버입니다. Apache Software Foundation에서 개발 및 유지 보수하고 있으며, Java 애플리케이션을 위한 가벼운 서버로 주로 사용됩니다. Tomcat은 서블릿 컨테이너로, Java EE 사양 중 서블릿, JSP, EL(Expression Language), WebSocket과 같은 기술을 지원합니다.

Ⅱ. Tomcat의 주요 특징

ⅰ. 가벼움과 유연성
 전통적인 애플리케이션 서버(JBoss, WebLogic 등)보다 가볍고 빠릅니다. 불필요한 기능을 제거하거나 추가할 수 있는 유연성을 제공하여, 필요한 기능만 포함된 맞춤형 서버 구성이 가능합니다.
ⅱ. 오픈 소스
Apache License 2.0 하에 배포되는 오픈 소스 소프트웨어로, 누구나 자유롭게 사용하고 수정할 수 있습니다.
ⅲ. Java 기반
 Java로 개발되어 있어, Java 애플리케이션과의 호환성이 매우 뛰어납니다. 서블릿 및 JSP 기술을 지원하므로 Java EE 애플리케이션의 호스팅에 적합합니다.
ⅳ. 다양한 버전 지원
 다양한 Java EE 사양을 지원하는 여러 버전을 제공하여, 사용자는 자신에게 맞는 버전을 선택할 수 있습니다.
ⅴ. 클러스터링 및 로드 밸런싱
 여러 인스턴스 간의 로드 밸런싱과 세션 클러스터링을 지원하여, 고가용성과 확장성을 제공합니다.
ⅵ. 보안
 보안에 중점을 둔 구성 옵션을 제공하며, SSL/TLS 설정, 보안 권장사항 적용 등을 통해 웹 애플리케이션의 보안을 강화할 수 있습니다.

Ⅲ. Tomcat의 보안 설정

보안 설정은 서버의 안전성을 높이고, 공격에 대한 취약점을 줄이기 위해 매우 중요합니다. 아래는 주요 보안 설정 옵션과 그 설명입니다.

ⅰ. SSL/TLS 설정
 HTTPS를 지원하려면 SSL/TLS를 설정해야 합니다.
server.xml 파일의 Connector 요소에서 scheme="https", secure="true", SSLEnabled="true"를 설정합니다.
인증서 및 키스토어(keystore)를 준비하고, keystoreFile, keystorePass 옵션을 설정하여 SSL 인증서를 연결합니다.
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           keystoreFile="conf/keystore.jks" keystorePass="your_password"
           clientAuth="false" sslProtocol="TLS" />

 

ⅱ. 관리 콘솔 접근 제어
관리 콘솔(manager, host-manager 등)은 민감한 정보에 접근할 수 있으므로, 접근을 제한해야 합니다.
conf/tomcat-users.xml 파일에서 관리자 역할의 사용자 정의와 인증을 설정합니다.
IP 주소 기반의 접근 제한을 위해 WEB-INF/web.xml 파일에서 RemoteAddrValve를 설정할 수 있습니다.
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
       allow="192.168.1.*" />

 

ⅲ. 디렉토리 브라우징 비활성화
디렉토리 브라우징은 보안 취약점이 될 수 있으므로 이를 비활성화해야 합니다.
web.xml 파일에서 default 서블릿의 listings 파라미터를 false로 설정합니다.
<servlet>
    <servlet-name>default</servlet-name>
    <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
    <init-param>
        <param-name>listings</param-name>
        <param-value>false</param-value>
    </init-param>
</servlet>

 

ⅳ. 서버 정보 숨기기
 기본적으로 서버 정보를 노출합니다. 이를 비활성화하여 공격자가 서버 버전을 알 수 없도록 설정합니다.
conf/server.xml 파일에서 Server 요소의 server 속성을 설정합니다.
<Server port="8005" shutdown="SHUTDOWN" server=" ">

 

ⅴ. 보안 헤더 설정:
 HTTP 응답에 보안 헤더를 추가하여 다양한 웹 공격에 대한 보호를 강화할 수 있습니다.
web.xml 파일에서 Filter를 추가하여 X-Frame-Options, X-Content-Type-Options, X-XSS-Protection과 같은 헤더를 설정할 수 있습니다.
<filter>
    <filter-name>httpHeaderSecurity</filter-name>
    <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
    <init-param>
        <param-name>antiClickJackingOption</param-name>
        <param-value>SAMEORIGIN</param-value>
    </init-param>
</filter>

 

ⅵ. 세션 관리 강화
세션 하이재킹을 방지하기 위해, 세션 쿠키에 HttpOnly 및 Secure 플래그를 설정할 수 있습니다.
conf/context.xml 파일에 useHttpOnly="true"를 추가하고, SSL을 사용할 때 Secure 플래그를 추가할 수 있습니다.
<Context useHttpOnly="true">

 

ⅶ. 로깅 및 모니터링
로그 설정을 통해 보안 관련 이벤트를 모니터링합니다.
conf/logging.properties 파일에서 로그 레벨과 로깅 출력을 설정하여, 필요한 경우 보안 사고에 신속히 대응할 수 있습니다.