在默认情况下,Apache会在HTTP Header和错误页面中,比如404页面,显示Apache、模块和操作系统的一些信息。这就相当于告诉别人,我这台电脑安装了什么,一些模块可能没有及时更新,存在漏洞,会带来潜在的风险。
只要修改Apache的配置文件,即可隐藏Apache的版本信息。
Apache httpd配置文件的地址:
/etc/httpd/conf/httpd.conf (RHEL/CentOS/Fedora)
/etc/apache/apache2.conf (Debian/Ubuntu)
找到参数,并修改值:
ServerSignature Off
ServerTokens Prod
ServerSignature有三个值,分别是Off,On和Email。该信息会被显示在错误页面中,如果设置为Off,则不显示,On和Email区别不大,Email会自动给ServerAdmin加一个mailto的链接地址。
ServerTokens有六个值,分别是ProductOnly,Major,Minor,Minimal,OS和Full。该信息会显示Apache和其模块信息在HTTP Header和错误页面中。
上图显示的是ServerTokens设置为ProductOnly时,HTTP Header中的信息。
上图显示的是ServerTokens设置为OS时,HTTP Header中的信息。
上图显示的是ServerSignature设置为Off时,404页面显示的信息。
上图显示的是ServerSignature设置为On,ServerTokens为OS时,404页面显示的信息。