概要
「Apache HTTP Server」を使ってWebサイトを公開する際、プロダクト情報やバージョン情報を公開しないようにすべきである。
サイバー攻撃者にWebサイトのプロダクト・バージョン情報を与えてしまうと、脆弱性をつかれてハッキングなどの恐れがある。
システム環境
本記事で検証したシステム環境は以下の通り。
- OS:Oracle Linux Server 8.5
- Apache/2.4.37
Apache設定
ServerSignature – Webページのフッタ表示を消す
ServerSignatureディレクティブが「On」になっていると、エラーページ(404 Not Foundなど)にアクセスした際、下図のようにWebページのフッタにプロダクト・バージョン情報が表示されてしまう。
Webページのフッタ表示を消すには、Apache設定ファイル「/etc/httpd/conf/httpd.conf」に以下のように設定し、設定の再読み込みを行う。
[root]# vi /etc/httpd/conf/httpd.conf
・・・
ServerSignature Off
・・・
[root]#
[root]# systemctl reload httpdするとWebページのフッタが表示されなくなる。
ServerTokens – HTTP応答ヘッダの情報を制御する
ServerTokensディレクティブに設定する値によってHTTP応答ヘッダの情報が変わる。
例えば「Full」の場合、OS情報やApacheバージョンまで全ての情報が載ってしまう。
「ProductOnly」にするとプロダクト情報のみになるため、セキュリティ上は「ProductOnly」が良い。
Apache設定ファイル「/etc/httpd/conf/httpd.conf」に以下のように設定し、設定の再読み込みを行う。
[root]# vi /etc/httpd/conf/httpd.conf
・・・
ServerTokens ProductOnly
・・・
[root]#
[root]# systemctl reload httpdServerTokens ProductOnlyの場合のHTTP応答ヘッダ
ServerTokens ProductOnlyの場合、HTTP応答ヘッダにはプロダクト情報が表示される。
ServerTokens Majorの場合のHTTP応答ヘッダ
ServerTokens Majorの場合、HTTP応答ヘッダにはプロダクト情報とメジャーバージョンが表示される。
ServerTokens Minorの場合のHTTP応答ヘッダ
ServerTokens Minorの場合、HTTP応答ヘッダにはプロダクト情報とマイナーバージョンが表示される。
ServerTokens Minimalの場合のHTTP応答ヘッダ
ServerTokens Minimalの場合、HTTP応答ヘッダにはプロダクト情報とパッチバージョンが表示される。
ServerTokens OSの場合のHTTP応答ヘッダ
ServerTokens OSの場合、HTTP応答ヘッダにはプロダクト情報とパッチバージョン、OS情報が表示される。
ServerTokens Fullの場合のHTTP応答ヘッダ
ServerTokens Fullの場合、HTTP応答ヘッダにはプロダクト情報とパッチバージョン、OS情報の他、PHPなど組み込んでいるモジュール情報が表示される。
(筆者の環境ではモジュールを組み込んでいなかったため、ServerTokens OSと同じ結果となった。)
