33
32

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

Tomcat のバージョン情報を隠す

Last updated at Posted at 2013-07-29

Tomcat のエラーページなどに Version 情報が表示されてしまうのを抑制する方法。
OWASP サイトに書いて有ります。
https://www.owasp.org/index.php/Securing_tomcat
古いですけど、今でも変わらないようです。

$ cd lib
$ jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties
$ vi org/apache/catalina/util/ServerInfo.properties

  server.info=Apache Tomcat/7.0.40
    ↓
  server.info=Apache Tomcat

$ jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties
$ rm -fr org

[2018.3.26]
コメントで指摘いただいたので server.number, server.build はいじらず、OWASP サイトにあるように server.info から version 部分だけを削るようにしました

ついでに、HTTP ヘッダーから Coyote という情報を消す方法

server.xml の HTTP Connector の設定に server="server(任意の文字列)" を追加する。

HTTP/1.1 404 Not Found
Server: Apache-Coyote/1.1
Content-Length: 0
Date: Tue, 11 Jun 2013 09:52:07 GMT

  ↓

HTTP/1.1 404 Not Found
Content-Length: 0
Date: Tue, 11 Jun 2013 09:52:48 GMT
Server: server

さらについでに、SHUTDOWN コマンドを変更する

OWASP のページに書いてあるからこれもついでに。
デフォルトの server.xml では

<Server port="8005" shutdown="SHUTDOWN">

となっており、これは公知の内容なので Tomcat の実行ホストにログインできる人は誰でも Tomcat を停止できてしまいます。よりセキュアにするには shutdown の値を推測できない値にしましょうとのこと。

33
32
3

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
33
32

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?