Solaris User

Apacheのバージョン情報の隠蔽方法

Apacheのバージョン情報の隠蔽方法を紹介します。

Netcraft 等のサイトでWebサーバの稼働OSやバージョンなど外部からでも簡単にチェックできる。ということはクラッカーなど悪意のあるユーザも簡単にWebサーバの情報を入手できるわけだ。そもそも、Webサーバのバージョンをわざわざインターネット上の多くのユーザに公開する必要はない。サーバ管理者も重大なセキュリティホールでもない限りそんなにこまめにバージョンアップもしてられない。ただ、最新バージョンでないことを露呈するのも気分が悪いという管理者もいるだろう。
だったらバージョンを隠しちゃえというお話。
当然、バージョンを隠すだけなので、パッチ適用やバージョンアップを定期的に行わなければ脆弱性の解消にはならないので注意。

httpd.confファイルで ServerTokens と ServerSignature の設定を以下のように変更しApacheを再起動する。

-------httpd.conf-------------------
...
...
ServerSignature Off
ServerTokens ProductOnly <-- 追加
------------------------------------

■ ServerSignature ディレクティブの形式と説明

ServerSignature on | off | email

Apacheが生成するエラーメッセージに付けられる署名を設定する。
onの設定ではApacheのバージョンナンバーとServerNameが表示される。
emailの設定ではServerAdminディレクティブで指定した電子メールアドレスが
「mailto:」で示される。

■ ServerTokens ディレクティブの形式と説明

ServerTokens Minimal | ProductOnly | OS | Full

Serverレスポンスヘッダに含まれるサーバ情報を設定する。
デフォルトではFull。

設定　　　　　　　送信されるヘッダ
ProductOnly 　　　Apache
Minimal 　　　　　Apache/1.3.27
OS　　　　　　　　Apache/1.3.27 (Unix)
Full　　　　　　　Apache/1.3.27 (Unix) mod_ssl/2.8.12 OpenSSL/0.9.6b PHP/4.1.2 mod_perl/1.26

この設定はサーバ全体に影響し、バーチャルホストごとの設定はできない。

[注意]
ServerSignature, ServerTokens ともにApache1.3以降で有効。
ただし、ServerTokens のProductOnlyに関してはApache1.3.12以降でないと利用できない。

オラクルユニバーシティSolaris系技術トレーニング一覧

• OpenStack Administration Using Oracle Solaris 11 NEW
• Oracle ZFS Storage Appliance Administration NEW
• Oracle Solaris 11 新機能
• Oracle Solaris 11 システム管理 I
• Oracle Solaris 11 システム管理 II
• Oracle Solaris 11 パフォーマンス管理
• Oracle Solaris 11 セキュリティ管理
• Oracle Solaris 11 ZFS 管理
• Oracle Solaris 11 ゾーン管理
• Oracle Solaris 11 トラブルシューティング
• Oracle VM Server for SPARC: Installation and Configuration

Solarisお勧め書籍

Solaris 11.2 システムハンドブック

Oracle Solaris 11 試験対策本(OCA)