Apacheサーバでは、


dev_tool_net_ap_ver


デベロッパーツールのネットワークと


not_found_ap_ver


404NotFoundのページでサーバで利用しているApacheのバージョンが表示される。

バージョンが表示されることによって、

Apacheのとあるバージョンに重大な脆弱性があった場合、

これらの表示を元に攻撃を試みられることもあるので、

バージョンは非表示にすることが推奨されている。


というわけでApacheのバージョンを非表示にしてみる。




環境

Ubuntu 16.04

Apache 2.4.27


sudo a2enconf security
sudo emacs /etc/apache2/conf-enabled/security.conf

security.confで下記のように修正

ServerTokens OS → Server Tokens Prod

ServerSignature Off → ServerSignature On


ファイルを保存後、

sudo /etc/init.d/apache2 restart

サイトのページを表示し、


dev_tool_net_ap_ver1

#ServerTokens


not_found_ap_ver1

#ServerSignature


各表示でApacheのバージョンが表示されていないことが確認できたら終了。