공격자로 부터 서버가 사용하는 프로그램의 이름이나 버전이 노출 될 경우, 침투하는데 좋은 정보를 줄 수 있기 때문에 이를 숨겨야 한다.
apache2 인 경우 /etc/apache2/conf-available/ 디렉토리에 security.conf 파일을 수정한다.
security.conf 파일을 수정하면 아래 설정 값을 볼 수 있을 것이다.
ServerTokens Full
ServerSignature On
ServerTokens는 응답 헤더에 서버 정보를 주게되고, ServerSignature는 404 에러 페이지가 뜰 경우 서버 정보를 출력하는 옵션이다.
이를 아래 처럼 저장한 후 apache2를 재시작 해준다.
ServerTokens Prod
ServerSignature Off
curl 로 요청시 아래 처럼 해더에 서버 정보를 보내지 않는 것을 볼 수 있다.
$ curl -I localhost
HTTP/1.1 403 Forbidden
Date: Wed, 11 Sep 2019 18:08:30 GMT
Server: Apache
Content-Type: text/html; charset=iso-8859-1