Tomcat のエラーページなどに Version 情報が表示されてしまうのを抑制する方法。
OWASP サイトに書いて有ります。
https://www.owasp.org/index.php/Securing_tomcat
古いですけど、今でも変わらないようです。
$ cd lib
$ jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties
$ vi org/apache/catalina/util/ServerInfo.properties
server.info=Apache Tomcat/7.0.40
↓
server.info=Apache Tomcat
$ jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties
$ rm -fr org
[2018.3.26]
コメントで指摘いただいたので server.number, server.build はいじらず、OWASP サイトにあるように server.info から version 部分だけを削るようにしました
ついでに、HTTP ヘッダーから Coyote という情報を消す方法
server.xml の HTTP Connector の設定に server="server(任意の文字列)" を追加する。
HTTP/1.1 404 Not Found
Server: Apache-Coyote/1.1
Content-Length: 0
Date: Tue, 11 Jun 2013 09:52:07 GMT
↓
HTTP/1.1 404 Not Found
Content-Length: 0
Date: Tue, 11 Jun 2013 09:52:48 GMT
Server: server
さらについでに、SHUTDOWN コマンドを変更する
OWASP のページに書いてあるからこれもついでに。
デフォルトの server.xml では
<Server port="8005" shutdown="SHUTDOWN">
となっており、これは公知の内容なので Tomcat の実行ホストにログインできる人は誰でも Tomcat を停止できてしまいます。よりセキュアにするには shutdown の値を推測できない値にしましょうとのこと。