サーバ情報表示の抑止

自分だけの環境なんでどうでもいいんですが、不正侵入の手口と対策(2):攻撃者に有用な情報を与えない対策法 - @ITによると、サーバ情報も無用に公開しない方がいいんですって。
なので、お手軽に試してみました。

ServerTokensディレクティブの設定

209行目のオプションから「Prod(Product名のみ)」に変えるだけ。(元々はFullになってた)

# vi /etc/apache2/apache2.conf 
(snip)
    205 # ServerTokens
    206 # This directive configures what you return as the Server HTTP response
    207 # Header. The default is 'Full' which sends information about the OS-Type
    208 # and compiled in modules.
    209 # Set to one of:  Full | OS | Minor | Minimal | Major | Prod
    210 # where Full conveys the most information, and Prod the least.
    211 #
    212 ServerTokens Prod
(snip)

ServerSignatureディレクティブの設定

On→Offに変えるだけ。

# vi /etc/apache2/site-available/default
(snip)
     48         ServerSignature Off
(snip)

確認

おお。お手軽。

広告を非表示にする