No.369


【apache】【PHP】WEBサーバの最低限のセキュリティ

やましくなくてもバージョン番号は隠そう

 いろいろな環境を運用していると、サボっていなくても何かのタイミングや事故でミドルウェアの更新が滞ってしまうことがある。

 もちろん無い方がいいんだけど、遠隔地のサーバセンターに出張するなど、どうしても即時対応できないケースも多いだろう。

 というわけで、最低限WEBサーバならapacheとPHPのレスポンス情報は抑制しておこう。損はない。


apache

/etc/httpd/conf/httpd.conf

 の下記を変更する。

ServerSignature Off
ServerTokens Prod

 前者はapacheのバージョン情報を表示しなくする。後者はサーバー情報を抑制する。

 修正後は再起動を忘れずに。

PHP

/etc/php.ini

 の下記を変更する。

expose_php Off
ServerTokens Prod

 PHPのバージョン情報を表示しなくする。

 修正後はapacheの再起動を忘れずに。