32
Help us understand the problem. What are the problem?

More than 3 years have passed since last update.

posted at

updated at

Tomcat のバージョン情報を隠す

Tomcat のエラーページなどに Version 情報が表示されてしまうのを抑制する方法。
OWASP サイトに書いて有ります。
https://www.owasp.org/index.php/Securing_tomcat
古いですけど、今でも変わらないようです。

$ cd lib
$ jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties
$ vi org/apache/catalina/util/ServerInfo.properties

  server.info=Apache Tomcat/7.0.40
    ↓
  server.info=Apache Tomcat

$ jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties
$ rm -fr org

[2018.3.26]
コメントで指摘いただいたので server.number, server.build はいじらず、OWASP サイトにあるように server.info から version 部分だけを削るようにしました

ついでに、HTTP ヘッダーから Coyote という情報を消す方法

server.xml の HTTP Connector の設定に server="server(任意の文字列)" を追加する。

HTTP/1.1 404 Not Found
Server: Apache-Coyote/1.1
Content-Length: 0
Date: Tue, 11 Jun 2013 09:52:07 GMT

  ↓

HTTP/1.1 404 Not Found
Content-Length: 0
Date: Tue, 11 Jun 2013 09:52:48 GMT
Server: server

さらについでに、SHUTDOWN コマンドを変更する

OWASP のページに書いてあるからこれもついでに。
デフォルトの server.xml では

<Server port="8005" shutdown="SHUTDOWN">

となっており、これは公知の内容なので Tomcat の実行ホストにログインできる人は誰でも Tomcat を停止できてしまいます。よりセキュアにするには shutdown の値を推測できない値にしましょうとのこと。

Register as a new user and use Qiita more conveniently

  1. You can follow users and tags
  2. you can stock useful information
  3. You can make editorial suggestions for articles
What you can do with signing up
32
Help us understand the problem. What are the problem?