Home » Programing, Server » Apacheのバージョン情報などを隠す

Check     このエントリーをはてなブックマークに追加

Apacheデフォルト設定の場合、ブラウザ(レスポンスヘッダ)に下記のようなバージョン情報を返してしまいます。

Server: Apache/2.2.8 (Unix) PHP/5.2.5

これは、Webサーバ攻撃者にとって有用な情報源となってしまう恐れがあるので、Apacheのhttpd.confなどの設定ファイルを変更します。

# サーバの情報を最低限に返す
ServerTokens Prod

# エラー時にフッター情報を返さない
ServerSignature Off

こうすることで、レスポンスヘッダは下記のようになる。

Server: Apache

Not Foundなどのエラー時もフッターにバージョン情報やAdminメールなどの情報を返しません。

<追記>
PHPがバンドルされているApacheの場合デフォルトでヘッダに「X-Powered-By: PHP/5.2.5」などと言うバージョン情報を返してしまう。

これをやめたい場合はphp.iniの設定を下記のようにする。

expose_php = On
 ↓
expose_php = Off

Check     このエントリーをはてなブックマークに追加
タグ: