Edited at

apacheで攻撃者に有用な情報を与えない対策

More than 1 year has passed since last update.

nginxの場合は Nginx導入時、サクッと対応しておくと良いかもしれない - Qiita


確認

curl -I http://url〜



Apacheのバージョンを出力させない


httpd.conf

- ServerTokens Full

+ ServerTokens Prod



  • ServerSignature OffはProdの場合不要。


curl localhost/aaa

 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /aaa was not found on this server.</p>
<hr>
+<address>Apache/2.4.7 (Ubuntu) Server at localhost Port 80</address>
</body></html>


PHPのバージョンを出力させない


php.ini

- expose_php = On

+ expose_php = Off


Apacheのwelcomeページを表示させない

cd /etc/httpd/conf.d/

mv welcome.conf welcome.conf.org


以下は今はしなくても良さそう。


IE6初期以前のBasic認証セキュリティ向上

telnet dummy.hoge.jp 80



  • OPTIONS / HTTP/1.0を入力しEnter2回。


Allow: GET,HEAD,POST,OPTIONS,TRACE


TRACEを無効にするには以下


httpd.conf

+ TraceEnable Off