通常在 Google Chrome Browser 按 F12 會出現
『開發人員工具』,這時候我們可以看到很多資訊,例如: Request URL、Status Code、Response Headers、Request Headers等 ,為了提高 Web 伺服器的安全,我們可以透過置換 Request Headers 中的 Server 來提高一點點安全性,讓想攻擊的人,看不到你所使用的 Web 伺服器的版本,以下就用 Apache 2.4 來示範。
預設通常不做任何設定時,預設會出現如下圖:
在
/etc/httpd/conf/httpd.conf 中加入以下設定ServerTokens Prod
ServerSignature Off
就會出現如下圖:
就如你所見,只會顯示
Apache,這樣版本就不見了,但…這樣好像還是有點不安全,因為還是可以看到是用 Apache,還是可以猜到,所以我們要讓 Apache 的字樣整個消失,接下來就要做一點小動作了。
請安裝下面的套件
# yum install mod_security
再次編輯
/etc/httpd/conf/httpd.conf 中加入以下設定ServerTokens Prod
#ServerSignature Off
SecServerSignature “WEB”
就會出現如下圖:
以上設定就完成了,這樣想攻擊的人就還要猜你是用 Apache or Nginx 。
以上設定就完成了,這樣想攻擊的人就還要猜你是用 Apache or Nginx 。
Reference:
- Apache Web Server Hardening and Security Guide
- How to Change Apache Server Name to Anything in Server Headers
沒有留言:
張貼留言