[ TOMCAT ] Tomcatのバージョン非表示設定をする

[ TOMCAT ] Tomcatのバージョン非表示設定をする

はじめに

久々に Tomcat 上でアプリケーションコンテナをデプロイしているので、備忘録です。
401エラー等のステータス時に利用している Tomcat バージョンが表示していましたので、非表示にしてみます。

 

tomcat-1

apache なんかですと、httpd.conf あたりでバージョン非表示などが可能ですが、
tomcat は 設定ファイルを操作するのにひと手間加える必要があります。

Tomcat の lib 配下に移動し、catalina.jar を展開します。

# cd ${TOMCAT_HOME}/lib
# jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties

ServerInfo.properties を編集し、値の部分を削除します。

# vim org/apache/catalina/util/ServerInfo.properties

変更前

server.info=Apache Tomcat/8.0.22
server.number=8.0.22.0
server.built=Apr 29 2015 11:46:15 UTC

変更後

server.info=
server.number=
server.built=

編集が終わったら、jar ファイルを元に戻してあげて、展開されたディレクトリを削除します。

# jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties
# rm -rf org

tomcat-2

バージョンが非表示になりました!!

まとめ

バージョンの非表示設定をすることにより、バージョンの脆弱性を狙った攻撃が防ぐことができました。
セキュリティ事故に発展しないよう、自分のシステムは守りましょう。

参考文献

Securing tomcat