Apacheサーバでは、



デベロッパーツールのネットワークと



404NotFoundのページでサーバで利用しているApacheのバージョンが表示される。

バージョンが表示されることによって、

Apacheのとあるバージョンに重大な脆弱性があった場合、

これらの表示を元に攻撃を試みられることもあるので、

バージョンは非表示にすることが推奨されている。


というわけでApacheのバージョンを非表示にしてみる。




環境

Ubuntu 16.04

Apache 2.4.27


sudo a2enconf security
sudo /etc/apache2/conf-enabled/security.conf

security.confで下記のように修正

ServerTokens OS → Server Tokens Prod

ServerSignature Off → ServerSignature On


ファイルを保存後、

sudo /etc/init.d/apache2 restart

サイトのページを表示し、


#ServerTokens


#ServerSignature


各表示でApacheのバージョンが表示されていないことが確認できたら終了。