Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2014年1月18日

Apache のバージョンや OS の情報を出力しないようにする

はじめに

Apache のデフォルトの設定だと、Apache のバージョンや OS などのサーバー情報がユーザーに公開されてしまいます。

セキュリティ対策の基本としては、バージョンなどが分かったとしても安全であることが基本ですが、攻撃者に情報をあえて渡す必要もありません。

この記事では、Apache のバージョンや OS などのサーバー情報を出力しないようにする設定をご紹介します。

なお、設定は以下のファイルに行います。

# vi /etc/httpd/conf/httpd.conf

設定を有効にするには、Apache を再起動します。
# service httpd restart

エラー画面にサーバー情報を表示しないようにする

Apache のデフォルトの設定だと、下図のように、エラー画面でサーバー情報を出力してしまいます。

pic01

エラー画面にサーバー情報を表示しないようにするには、ServerSignature の設定を以下のようにします。

ServerSignature Off

設定反映後のエラー画面は下図のようになり、サーバー情報が出力されないことが分かります。

pic02

レスポンスヘッダーにサーバー情報が出力されないようにする

Apache のデフォルト設定では、レスポンスヘッダーにサーバー情報が出力されてしまいます。

以下は、レスポンスヘッダーの内容を Fiddler というツールで取得したものですが、しっかりとサーバー情報が出力されていますね。

HTTP/1.1 403 Forbidden
Date: Fri, 17 Jan 2014 17:10:31 GMT
Server: Apache/2.2.15 (CentOS) DAV/2 mod_ssl/2.2.15 OpenSSL/1.0.0-fips
X-Frame-Options: DENY
Content-Length: 208
Connection: close
Content-Type: text/html; charset=iso-8859-1

レスポンスヘッダーにサーバー情報が出力されないようにするには、ServerTokens を以下のように設定します。
ServerTokens ProductOnly

設定変更後のレスポンスヘッダーは以下のようになり、サーバー情報が出力されていないことが分かります。
HTTP/1.1 403 Forbidden
Date: Fri, 17 Jan 2014 17:19:21 GMT
Server: Apache
X-Frame-Options: DENY
Content-Length: 208
Connection: close
Content-Type: text/html; charset=iso-8859-1


スポンサーリンク




カテゴリー:Linux

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA