Páginas

miércoles, 21 de agosto de 2013

Ocultar la versión de Tomcat de las páginas de error

Como medida de seguridad, siempre es interesante que en las páginas de error genéricas que genera Tomcat, por ejemplo la de error 404, no aparezca la versión de Tomcat que estamos usando.

Esto evita que posibles atacantes, al conocer qué versión del servidor tenemos,  aprovechen las vulnerabilidades conocidas del servidor.

Hay una forma muy simple de ajustar el contenido de ésta pantalla:

1) Nos movemos al directorio $CATALINA_HOME/lib, y creamos el subdirectorio org/apache/catalina/util. Por ejemplo, suponiendo que $CATALINA_HOME está en /home/tomcat realizaríamos:

cd /home/tomcat/lib
mkdir -p org/apache/catalina/util

2) Nos movemos al directorio que acabamos de generar y creamos el fichero ServerInfo.properties, en éste fichero añadimos el parámetro server.info, ajustando su valor a lo que mejor nos parezca.

cd org/apache/catalina/util
$ vi ServerInfo.properties
server.info=Apache Tomcat Version XXX

3) Por último reiniciamos el servidor Tomcat.

cd $CATALINA_HOME/bin
./catalina.sh stop
./catalina.sh start 

Con éstos ajustes, cuando salte la página de error 404, veremos que ya no aparece la versión de Tomcat real, sino que aparece "Apache Tomcat Version XXX"

P.D. Si queremos saber la versión real del Tomcat, podemos ejecutar el script:

$CATALINA_HOME/bin/version.sh

No hay comentarios:

Publicar un comentario