はじめに
Apache のデフォルトの設定だと、Apache のバージョンや OS などのサーバー情報がユーザーに公開されてしまいます。
セキュリティ対策の基本としては、バージョンなどが分かったとしても安全であることが基本ですが、攻撃者に情報をあえて渡す必要もありません。
この記事では、Apache のバージョンや OS などのサーバー情報を出力しないようにする設定をご紹介します。
なお、設定は以下のファイルに行います。
# vi /etc/httpd/conf/httpd.conf
設定を有効にするには、Apache を再起動します。
# service httpd restart
エラー画面にサーバー情報を表示しないようにする
Apache のデフォルトの設定だと、下図のように、エラー画面でサーバー情報を出力してしまいます。
エラー画面にサーバー情報を表示しないようにするには、ServerSignature の設定を以下のようにします。
ServerSignature Off
設定反映後のエラー画面は下図のようになり、サーバー情報が出力されないことが分かります。
レスポンスヘッダーにサーバー情報が出力されないようにする
Apache のデフォルト設定では、レスポンスヘッダーにサーバー情報が出力されてしまいます。
以下は、レスポンスヘッダーの内容を Fiddler というツールで取得したものですが、しっかりとサーバー情報が出力されていますね。
HTTP/1.1 403 Forbidden Date: Fri, 17 Jan 2014 17:10:31 GMT Server: Apache/2.2.15 (CentOS) DAV/2 mod_ssl/2.2.15 OpenSSL/1.0.0-fips X-Frame-Options: DENY Content-Length: 208 Connection: close Content-Type: text/html; charset=iso-8859-1
レスポンスヘッダーにサーバー情報が出力されないようにするには、ServerTokens を以下のように設定します。
ServerTokens ProductOnly
設定変更後のレスポンスヘッダーは以下のようになり、サーバー情報が出力されていないことが分かります。
HTTP/1.1 403 Forbidden Date: Fri, 17 Jan 2014 17:19:21 GMT Server: Apache X-Frame-Options: DENY Content-Length: 208 Connection: close Content-Type: text/html; charset=iso-8859-1
コメント