apacheのバージョンとOSを隠す

環境

  • ubuntu16.04
  • apache 2.4.18

問題点

サーバーのOSとバージョンがNotFoundページに表示されている

これの何が問題かというと例えばapacheのバージョンにOSを操作できるレベルのセキュリティ脆弱性が発見された際にその脆弱性を使ってサーバーを攻撃されるかもしれない。

それを防ぐために上記の環境のバージョンでは以下の設定を行った。

$vim /etc/apache2/conf-available/security.conf
-ServerTokens OS
+ServerTokens Prod

-ServerSignature On
+ServerSignature Off

するとこうなる。これでOS、apacheバージョンともにわからなくなるので多少セキュリティ的にマシになったことだろう。

コメントを残す