[Linux]-[apache] HTTPレスポンスヘッダからのバージョンを消す

ApacheのHTTPレスポンスヘッダにはデフォルトでApacheのバージョン、OS名及びモジュールが返されます。これらを表示させたくない場合にはServerTokens指示子を使います。引数にはFull(デフォルト)、OS、Minimal(Min)、ProductOnlyが指定可能で、それぞれ

Full Apacheのバージョン、OS名及びモジュール
OS ApacheのバージョンとOS名
Minimal(Min) Apacheのバージョン
ProductOnly 製品名のみ

という結果になります。

例としてMinimal(Min)を指定した場合は

ServerTokens Minimal
Apache/1.3.26  とバージョン名のみ表示されるようになります。ProductOnly指定が推奨されます。

また、インデックス表示や、エラーページを表示する際にもバージョンが表示されますので、これを表示されないようにするためには

ServerSignature Off

と指定します。昨今では「GET / HTTP/1.1(または1.0)」と指定し、HTTPサーバーの種類やOS、ApacheのバージョンやPHP、SSLが動作しているかを調べ、該当する脆弱性がある可能性を見つけると次の動作に入るという種の攻撃が多くなっています。このようにバナーを表示させないことにより無用な次の動作を避けることができます。例えセキュリティーホールを抱えてなくとも攻撃の形跡は気持ちの良いものではありません。

  • entry553ツイート
  • Google+

PageTop