Mod-JK und Tomcat Sicherheit

Mit Tomcat 8.5 wurden die Defaulteinstellungen für die Mod-JK Anbindung verschärft:

Der Tomcat Konnektor für Mod-JK erlaubt nur auf "localhost" eine Verbindung mit dem Apache. Um das zu ändern müssen Sie das Attribut "adress=...ip des Tomcat servers... angeben. Wenn Sie ohne Einschränkung freigeben wollen geben Sie address="0.0.0.0" an.
Der Tomcat Konnektor für Mod-JK (typischerweise 8009) wird mit einem Passwort ("secret") gestartet
Dieses Passwort muss Apache-seitig in der workers.properties eingetragen werden.

Hier ein Beispiel:

Tomcat server.xml:

<Connector protocol="AJP/1.3"
            secretRequired="true"
            secret="geheim"
               port="8009"
               redirectPort="8443"   URIEncoding="UTF-8" />

Apache workers.properties:

worker.list=superx_tomcat
worker.superx_tomcat.port=8009
worker.superx_tomcat.host=localhost
worker.superx_tomcat.type=ajp13
worker.superx_tomcat.secret=geheim

Wenn Sie nur auf localhost arbeiten und den Port 8009 nicht nach außen freigeben, können Sie in der server.xml auch

secretRequired="false"

setzen. Damit entfällt die Notwendigkeit eines Passworts.

Weitere Tipps zur Tomcat Sicherheit siehe https://tomcat.apache.org/tomcat-9.0-doc/security-howto.html