在 Jelastic 环境中保护 Tomcat 节点

Question

我在 Jelastic 环境中有一个 Tomcat 7.0.68 节点（启用了公共 IPv4）。这个 env 还包含一个 CentOS VPS 节点（也启用了公共 IPv4）。

我想保护这两个节点免受暴力攻击，因为例如Tomcat 的日志包含很多警告，例如：

WARNING: An attempt was made to authenticate the locked user "admin1"

对于 CentOS，它可以通过 fail2ban 完成（我已经做过）。但是我不能对 Tomcat 节点做同样的事情——jelastic 没有为 root 用户提供密码，也没有办法重置/更改这个密码。

之前我为Tomcat的用户配置了非常安全的密码并配置了

<Realm className="org.apache.catalina.realm.LockOutRealm">
<!-- This Realm uses the UserDatabase configured in the global JNDI
         resources under the key "UserDatabase".  Any edits
         that are performed against this UserDatabase are immediately
         available for use by the Realm.  -->
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
           resourceName="UserDatabase"/>
  </Realm>

但它只保护 Tomcat 内的应用程序。

所以我的问题是：

1. 配置 LockOutRealm 是否足以保护 Tomcat 免受暴力破解？
2. 无论如何 LockOutRealm 不保护 SSH 端口。如何保护 Tomcat 节点上的 SSH？
3. Jelastic 是否提供“开箱即用”的反暴力破解保护？

Answer 1

最好的选择是在您的 Tomcat 节点上安装 fail2ban，并根据我们的official documentation 配置防火墙规则。 但要执行此操作，您应该具有 root 权限。请联系您的托管服务提供商的支持人员，以便他们为您提供容器的 SSH 根访问权限。

Answer 2

无论如何，LockOutRealm 不保护 SSH 端口。如何保护 Tomcat 节点上的 SSH？

根据您的托管服务提供商，SSH 通常应默认设置防火墙。如果没有，您可以按照https://docs.jelastic.com/setting-custom-firewall 中的说明自行设置防火墙

（基本上在/etc/sysconfig/iptables-custom中设置自定义防火墙规则，然后运行sudo /usr/bin/jem firewall fwstart）。