对Tomcat进行这个配置,避免针对性的攻击。
前言
大家好,我是testerzhang,今天给大家分享安全知识:如何关闭显示Tomcat版本。
Tomcat加固
我们都知道暴露在互联网的服务,免不了被攻击,我们都要尽可能的不显示服务端具体用的什么Web服务、版本号等信息。如果被发现了是使用tomcat服务,而且还知道你用了什么版本,那么有心人就会搜索该版本的漏洞,进而恶意攻击。
网上常规的解决办法
通过修改tomcat的ServerInfo.properties文件,重新生成jar包,然后启动tomcat服务即可。
这里给大家分解下步骤:
$ cd /opt/testerzhang/tomcat7/lib$ mkdir temp$ cp catalina.jar catalina.jar-20210615$ cp catalina.jar temp/$ cd temp$ jar xf catalina.jar$ find . -name "ServerInfo.properties"./org/apache/catalina/util/ServerInfo.properties$ vim ./org/apache/catalina/util/ServerInfo.properties# 注释这一段#server.info=Apache Tomcat/7.0.109#server.number=7.0.109.0#server.built=Apr 22 2021 18:43:38 UTC# 增加这一段server.info=Apache Tomcatserver.number=0.0.0.0server.built=Apr 01 2121 00:01:02 UTC$ rm catalina.jar$ jar cvf catalina.jar META-INF org$ mv catalina.jar ../
重新启动tomcat
然后你就会看到不见了。
更简单暴力的做法
在server.xml配置文件里进行配置<Host> 配置节。
<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" />配置信息:
配置说明:
•showReport:如果发生错误,用于在错误页面上显示错误信息(状态代码及其信息)的标志。默认值是true•showServerInfo:如果发生任何错误,则用于在错误页面上显示当前服务器信息的标志。默认值是true
现在,使用上述配置,您将发现以下内容。(仅HTTP状态代码)。
文末
简单暴力解决伴随着一些信息的不可见,如果需要查看,再注释掉刚才的配置即可。
如果你喜欢我的推荐,可以点击"收藏"进行稍后阅读,可以点击"在看"支持下,也可以分享下此文章给你的其他朋友。
testerzhang
十年测试生涯,爱分享技术。头条号:testerzhang
Official Account
推荐阅读
••••••