问题描述
我一直在研究如何在嵌入式tomcat上进行“ tomcat强化”,但我找不到改变这3种Catalina服务器信息属性的方法:server.info,server.built,{{1 }}
是否有办法在spring application.property文件中更改这3个属性?还是通过其他方式?
下面的配置是专门针对ServerInfo.properties而不是嵌入式tomcat强化tomcat服务器的指南
理论上:
更改server.info属性可能会使操作更困难 攻击者确定哪些漏洞影响服务器 平台。所需的配置:
执行以下更改服务器 客户端连接到tomcat时显示的平台字符串 服务器。
- 从catalina.jar文件中提取ServerInfo.properties文件:$ cd $ CATALINA_HOME / lib $ jar xf catalina.jar org / apache / catalina / util / ServerInfo.properties
- 导航到已创建的util目录cd org / apache / Catalina / util
- 在编辑器中打开ServerInfo.properties
- 更新ServerInfo.properties文件中的server.info属性。 server.info =
- 使用修改后的ServerInfo.properties文件更新catalina.jar。 $ jar uf catalina.jar org / apache / catalina / util / ServerInfo.properties
更新:
我尝试通过使用修改后的ServerInfo.properties覆盖tomcat-embed-core-9.0.36来修改应用程序胖子。但是当我通过Java启动应用程序时,出现了此错误:
原因:java.lang.IllegalStateException:无法打开嵌套条目“ BOOT-INF / lib / tomcat-embed-core-9.0.36.jar”。它已被压缩,嵌套的jar文件必须未经压缩而存储。请检查用于创建可执行jar文件的机制 在org.springframework.boot.loader.jar.JarFile.createJarFileFromFileEntry(JarFile.java:283) 在org.springframework.boot.loader.jar.JarFile.createJarFileFromEntry(JarFile.java:265) 在org.springframework.boot.loader.jar.JarFile.getnestedJarFile(JarFile.java:254) ...还有6个
解决方法
提出2种解决方案:
-
修补了tomcat-embed-core.jar中的
-
Fat Jar方法-> ServerInfo.properties,并在构建过程中打包了可执行的fat jar。但是要求修补的tomcat-embed-core.jar必须在repo / artifactory中才能正常工作。
-
Thin Jar方法->可执行jar与外部库分开,使用spring-boot-thin-layout和spring-boot-thin-maven-plugin(用于构建)。这样可以外部化依赖关系,您可以在其中本地化任何jar文件,而不会破坏可执行的瘦jar。
目前,这是我可以想到的两种在春季启动应用程序中强化嵌入式tomcat的方法。
在有人提出更好的解决方案之前,我会将此标记为答案。