톰캣(Tomcat) 버전 가리는 방법

아파치와 톰캣 기본적으로 아래와 같이 HTTP 헤더에 Server 정보를 전송합니다.

평소에도 취약점은 나오기 마련인데 버전명을 알고 있으면 그 해당 버전에 대한 취약점을 가지고 공격이 들어올 수 있고 보안에 취약할 수 있어 

항상 기본적으로 버전을 가리는 것을 권장합니다.

정말 다들 알고 있고 간단거지만 막상 하려면 가끔씩 기억이 안날때도 있어서 적는중...

 

헤더로 버전 확인하기

아래와 같이 헤더를 확인해 버전을 확인할 수 있다.

$ curl -v -I localhost:8080

 

아파치(apache)버전 숨기기

$ vi {아파치경로}/conf/httpd.conf

# 내용 추가
ServerTokens Prod
ServerSignature Off

 

톰캣(tomcat)버전 숨기기

conf/server.xml 파일에 Server 정보를 설정해 주고 재 구동하면 됩니다.

아래 코드에는 제가 mytomcat으로 설정

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" 
               Server="mytomcat" />

 

톰캣(tomcat)버전 숨기기 2

이 방식은 톰캣의 코어 라이브러리를 직접 수정하는 방법입니다.

권장하는 방법은 아니지만 알 수 없는 이유와 환경에 따라 위 방법이 안되는 경우가 있다면 아래 방법을 사용해 보시라고 적어둡니다.

 

1. 코어 라이브러리 파일 압축 해제

cd $TOMCAT_HOME/lib
jar xvf catalina.jar

 

2. 에디터로 tomcat  서버 정보를 담고 있는 프로퍼티 파일을 열어줍니다.

 vi org/apache/catalina/util/ServerInfo.properties

 

3. 이제 프로퍼티에서 server.info 를 바꾸려면 이름(Ex: MyWAS) 으로 변경하고 저장합니다.

server.info=MyWAS
server.number=7.0.47.0
server.built=Oct 18 2013 01:07:38

 

4. 톰캣을 다시 구동하고 에러 페이지에 가서 버전이 가려지는지 확인합니다. 

$ ./bin/version.sh

Server version: Apache Tomcat/8.0.44
Server built:   May 10 2017 17:21:09 UTC
Server number:  8.0.44.0
OS Name:        Linux
OS Version:     4.9.27-14.31.amzn1.x86_64