![[ TOMCAT ] Tomcatのバージョン非表示設定をする](https://developer.leap-arrows.jp/wp-content/uploads/2016/04/eyecatch-tomcat-500x233.png)
はじめに
久々に Tomcat 上でアプリケーションコンテナをデプロイしているので、備忘録です。
401エラー等のステータス時に利用している Tomcat バージョンが表示していましたので、非表示にしてみます。
apache なんかですと、httpd.conf あたりでバージョン非表示などが可能ですが、
tomcat は 設定ファイルを操作するのにひと手間加える必要があります。
Tomcat の lib 配下に移動し、catalina.jar を展開します。
# cd ${TOMCAT_HOME}/lib
# jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties
ServerInfo.properties を編集し、値の部分を削除します。
# vim org/apache/catalina/util/ServerInfo.properties
変更前
server.info=Apache Tomcat/8.0.22 server.number=8.0.22.0 server.built=Apr 29 2015 11:46:15 UTC
変更後
server.info= server.number= server.built=
編集が終わったら、jar ファイルを元に戻してあげて、展開されたディレクトリを削除します。
# jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties # rm -rf org
バージョンが非表示になりました!!
まとめ
バージョンの非表示設定をすることにより、バージョンの脆弱性を狙った攻撃が防ぐことができました。
セキュリティ事故に発展しないよう、自分のシステムは守りましょう。
参考文献
[amazonjs asin=”4873117054″ locale=”JP” title=”詳解 Tomcat”]
[amazonjs asin=”B00QPSXXZK” locale=”JP” title=”スッキリわかるサーブレット&JSP入門”]