Tema 3

Configuración y administración de servidores de aplicaciones.

1. Protección del servidor de aplicaciones.

Los servidores de aplicaciones son vulnerables a ataques que se pueden clasificar en base a tres
niveles:

- Ataques al cliente.
- Ataques al servidor.
- Ataques al flujo de información entre cliente y servidor.

Para conseguir aplicaciones web seguras hay que establecer mecanismos que garanticen:

- Autenticación
o Básica, con usuario y contraseña.
o Con certificados
 HTTP Digest Auth (HTTP autenticación de texto implícita)
 HTTP NTLM Auth (HTTP autenticación de Microsoft NT Lan Manager)
- Autorización: determina, una vez logueado, a qué datos o módulos de la aplicación tiene acceso
el usuario
- Validación de entradas
- Inyección de SQL

Mecanismos para lograr páginas más seguras:

- Deshabilitar cuentas y servicios no autorizados.

- Actualización del OS y programas.
- Fortaleza en las contraseñas.
- Utilización de Firewalls.
- Backups periódicas
- Análisis de logs.
- Verificación periódica de servicios activos.
- Cifrado de tráfico.
- Establecimiento de políticas de seguridad.
 2. Despliegue de aplicaciones en Tomcat

Las aplicaciones web deben organizarse según la siguiente estructura de directorios:

- Directorio principal (raíz). Contendrá los ficheros estáticos (HTML, imágenes etc…) y JSPs.
o Carpeta WEB-INF: contiene el fichero “web.xml” encargado de configurar la aplicación
 Subcarpeta “classes”: contiene los ficheros compilados (servlets, beans).
 Subvarpeta “lib”: librerías adicionales
o Resto de carpetas para ficheros estáticos.

Una aplicación web se puede desplegar con los siguientes métodos:

- Archivos WAR
- Editando los archivos web.xml y server.xml, que es lo que miraremos a continuación.

Los directorios de una aplicación suelen ser: www, bin, src, tomcat, gwt-cache.

La carpeta www contiene a su vez una carpeta con el nombre y ruta del proyecto que contiene los
ficheros de la interfaz (html, js, css…).

La carpeta bin contiene las clases de java y la aplicación.

Para desplegar la aplicación en Tomcat se deben realizar los siguientes pasos:

1. Copiar la carpeta del proyecto de www al directorio webapps de Tomcat.

2. Renombrar la nueva carpeta de Tomcat a un nombre más sencillo.
3. Dentro de dicha carpeta crear otra nueva y llamarla WEB-INF.
4. Crear dentro de WEB-INF dos subdirectorios, “lib” y “classes”.
5. Copiar en lib todas las librerías (.jar) que necesite la aplicación.
6. Copiar el contenido de la carpeta bin de la aplicación al subdirectorio “WEB-INF/classes”.
7. Crear en WEB-INF un fichero de texto llamado web.xml con las rutas de loa servlets utilizados en
la aplicación.
8. Ya se puede acceder a la aplicación en el servidor, poniendo en le navegador la ruta del fichero
html que está ubicado en la carpeta de la aplicación en Tomcat.
2.1 Creación de la aplicación web.

Preámbulo.

Es interesante crear dos variables de entorno: JAVA_HOME, que indica la ubicación de los archivos
binarios de Java y CATALINA_HOME, que apunta a la ubicación de los scripts de Tomcat. Para ello
modificacmos el archivo /etc/profile.

CATALINA_HOME=/usr/local/apache-Tomcat-6.0.32/
JAVA_HOME=/usr/lib/jvm/java-6-openjdk/jre/
PATH=$PATH:$JAVA_HOME/bin:$CATALINA_HOME
export PATH JAVA_HOME CATALINA_HOME

Actualizamos las variables de entorno con el comando:

source /etc/profile

En primer lugar creamos una carpeta con el nombre que nos interesa para identificar la aplicación,
por ejemplo “Aplic_web”, con una estructura similar a esta:

Index.jsp contiene la aplicación que pretendemos desarrollar.

<html>
<head><title>Título</title>
<script language="Javascript">
function popup(){
alert("Alerta");
}
</script>
</head>
<body>
<form>
<input type="button" value="botón" onclick="popup()">
</form>
</body>
</html>

Para acabar solo tendríamos que hacer una copia de la aplicación en $CATALINA_HOME/webapps y
acceder con nuestro navegador a http://127.0.0.1:8080/Aplic_web
2.2 Despliegue de una aplicación web.

Las aplicaciones web se tienen que poder desplegar en diferentes servidores sin necesidad de hacer
modificaciones.

Los WAR son archivos de Java con una extensión diferente para diferenciarlos de los JAR.

El método más sencillo para desplegar una aplicación es copiar la carpeta de la aplicación a la
carpeta $CATALINA_HOME/webapps.

El archivo web.xml, dentro de la carpeta WEB-INF, es el encargado de describir las características de

despliegue de la aplicación
<?xml version="1.0" encoding="ISO-8859-1"?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
version="2.5">
<display-name>Descriptor Aplicacion Aplic_Web</display-name>
<description>
Mi primer descriptor web.xml.
</description>
</web-app>

Una vez tenemos todos los archivos, usamos los siguientes comandos para crear el .WAR:

- #javac -d WEB-INF/classes *.java Este comando compila las clases Java de la

aplicación.
- #jar cvf Aplic_Web.war WEB-INF Este comando crea el archivo .WAR.

2.3 Implementar el registro de acceso:

Para configurar los registros de acceso a un servidor de aplicaciones Tomcat usaremos las válvulas
de registro, que permiten asociar una instancia de una clase Java a un contenedor Catalina.