Apacheサーバでは、
デベロッパーツールのネットワークと
404NotFoundのページでサーバで利用しているApacheのバージョンが表示される。
バージョンが表示されることによって、
Apacheのとあるバージョンに重大な脆弱性があった場合、
これらの表示を元に攻撃を試みられることもあるので、
バージョンは非表示にすることが推奨されている。
というわけでApacheのバージョンを非表示にしてみる。
環境
Ubuntu 16.04
Apache 2.4.27
sudo a2enconf security sudo emacs /etc/apache2/conf-enabled/security.conf
security.confで下記のように修正
ServerTokens OS → Server Tokens Prod
ServerSignature Off → ServerSignature On
ファイルを保存後、
sudo /etc/init.d/apache2 restart
サイトのページを表示し、
#ServerTokens
#ServerSignature
各表示でApacheのバージョンが表示されていないことが確認できたら終了。
