<Apache-Tomcat>아파치 톰캣 기술지원 전문기업 (주)제스트정보기술 -Tomcat 서버 버전 정보 노출 숨기기

WEBWAS/Apache,Tomcat 2024. 2. 22. 18:05

안녕하세요.

제스트정보기술입니다.

이번 시간에는 Tomcat의 서버 버전 정보 노출을 숨기는 설정에 대해 알아보겠습니다.

톰캣을 기본 설정으로 사용할 경우 응답 헤더 및 에러 페이지에서 톰캣의 버전이 노출 될 수 있습니다.

이는 대표적인 보안 취약점이기 때문에 안전한 서비스 운영을 위해서는 설정을 통한 방지가 필요할 수 있습니다.

1.응답 헤더 버전 노출 제거

- 응답 헤더에서 버전 정보가 노출되지 않도록 설정하려면 Tomcat의 기본 설정 파일인 server.xml 파일을 수정 해 야합니다.

- server.xml 파일에 Connector 하위 항목에서 "server" 설정을 추가함으로써 가능합니다

ex) server.xml

<Connector port="8080" protocol="HTTP/1.1"

maxThreads="250"

connectionTimeout="20000"

redirectPort="8443"

server="Test"

-결과-

->개발자도구로 확인시 Server 헤더가 위 설정 값으로 변경 된 것을 확인할 수 있습니다.

2. 에러페이지 설정

-톰캣 기본 에러페이지 호출 시에도 아래와 같이 버전이 노출이 됩니다.

대표사진 삭제

사진 설명을 입력하세요.

- server.xml에 아래 설정을 추가함으로써 조치가 가능합니다

<Host name="localhost" appBase="."

unpackWARs="true" autoDeploy="true">

................

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"

prefix="localhost_access_log" suffix=".txt"

pattern="%{X-Forwarded-For}i %l %u %t "%r" %s %b"/>

<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false"/>

</Host>

-> 위 설정 추가 후 에러페이지 호출시 버전 정보가 노출되지 않는 것을 확인하실 수 있습니다.

오늘 배운 내용을 토대로 톰캣으로 운영중인 서비스의 버전정보가 노출되는지

확인해보시고, 노출이 안되도록 설정하시는걸 권장드립니다.

그럼 오늘도 즐거운 하루 되세요 ~

<제스트정보기술 기술지원>

(주)제스트정보기술은 전산시스템 구축에 오픈소스 SW로 구성

요구사항 분석과/공개 소프트웨어 설치 및 기술지원/서비스 연동/교육 및 컨설팅을 수행 하고 있습니다.

-. 공개 소프트웨어 기술 지원체계 수립

-. 공개 SW 교육 지원

-. 수요기관의 SW 구조/기능을 분석하고, 공개 SW 도입을 위한 분석, 솔루션을 검토함.

-. 오픈소스 SW 구축을 위한 최근 개발경향 분석

-. 해당 기능/역할에 대한 공개 소프트웨어 기술데이터 분석

-. 개방형 OS 도입 및 인프라 기반 WEB/WAS, 오픈 DB 기술지원 체계 수립

-. Apache, Jboss(Wildfly) was, Linux OS, 오픈 DBMS 구축, 기술지원

제스트정보기술은 20년 이상의 WEB/WAS 기술지원 경험과 노하우를 바탕으로

고객의 인프라 상용소프트웨어(Jeus, weblogic,JBoss EAP, Oracle DB등)에 소요되는 제반비용

(도입, 운영, 유지보수 비용등)을 획기적으로 절감하도록 계획과 방법을 제안하고 있으며

시스템 서비스의 성능을 전반적으로 개선하여 기술지원, 컨설팅을 제공하고 있습니다.

시스템 구축 이후에도 서비스 안정화를 위해 지속적인 서비스 모니터링 지원하고 있으며 ,

고객의 시스템을 안정적으로 운영하기 위해 최선의 노력을 다하고 있습니다.

<오픈소스 기술지원 문의>

영업지원 : sales@xest.kr

전화번호 : 02-558-5918

팩스번호 : 02-558-5913

홈페이지 : http://www.xest.kr

(주)제스트정보기술

Resin WAS SW 독점 총판 (주)제스트정보기술 Xest Information Technology

www.xest.kr

'WEBWAS > Apache,Tomcat' 카테고리의 다른 글

<Apache-Tomcat>아파치 톰캣 기술지원 전문기업 (주)제스트정보기술 - Tomcat의 Cache를 무한정 늘리면 안되는 이유 (0)	2024.04.09
<Apache-Tomcat>아파치 톰캣 기술지원 전문기업 (주)제스트정보기술 - Apache Tomcat TLS/cipher 설정 (0)	2024.03.29
[제스트정보기술]OO관리공단 Apache-Tomcat 신규 구축 계약 체결 (0)	2024.02.01
<Apache-Tomcat>아파치 톰캣 기술지원 전문기업 (주)제스트정보기술 - Linux OS에서 Tomcat root 계정 가동 방지 설정 (0)	2024.01.26
<Apache-Tomcat>아파치 톰캣 기술지원 전문기업 (주)제스트정보기술 - Logrotate 기능 활용하여 tomcat log 관리하기 (2)	2024.01.22

ABOUT ME

오픈소스기술지원 전문기업- (주)제스트정보기술

1.응답 헤더 버전 노출 제거

<제스트정보기술 기술지원>

'WEBWAS > Apache,Tomcat' 카테고리의 다른 글

티스토리툴바

ABOUT ME

1.응답 헤더 버전 노출 제거

<제스트정보기술 기술지원>

'WEBWAS > Apache,Tomcat' 카테고리의 다른 글

관련글 관련글 더보기

티스토리툴바