apache2 서버 정보 숨기기

 

 

공격자로 부터 서버가 사용하는 프로그램의 이름이나 버전이 노출 될 경우, 침투하는데 좋은 정보를 줄 수 있기 때문에 이를 숨겨야 한다.

 

 

apache2 인 경우 /etc/apache2/conf-available/  디렉토리에 security.conf 파일을 수정한다.

 

security.conf 파일을 수정하면 아래 설정 값을 볼 수 있을 것이다.

ServerTokens Full
ServerSignature On

 

ServerTokens는 응답 헤더에 서버 정보를 주게되고, ServerSignature는 404 에러 페이지가 뜰 경우 서버 정보를 출력하는 옵션이다.

 

이를 아래 처럼 저장한 후 apache2를 재시작 해준다.

ServerTokens Prod
ServerSignature Off

 

curl 로 요청시 아래 처럼 해더에 서버 정보를 보내지 않는 것을  볼 수 있다.

$ curl -I localhost

HTTP/1.1 403 Forbidden
Date: Wed, 11 Sep 2019 18:08:30 GMT
Server: Apache
Content-Type: text/html; charset=iso-8859-1