Apache バージョン表示隠蔽

/ Linux/Unix / Comment[0]
エラー表示に含まれるバージョン情報などは攻撃者にとって有益な情報になり得ることがある。
$ nc 10.0.1.1 80
GET / HTTP/1.0
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>401 Authorization Required</title>
</head><body>
<h1>Authorization Required</h1>
<p>This server could not verify that you
are authorized to access the document
requested. Either you supplied the wrong
credentials (e.g., bad password), or your
browser doesn't understand how to supply
the credentials required.</p>
<hr>
<address>Apache/2.2.14 (Ubuntu) Server at 10.0.1.1 Port 80</address>
</body></html>

バージョン表示を隠蔽する方法としては、httpd.confの<Directory>ディレクティブでエラー時に別のhtmlファイルを読み込ませるようにするか、

err.html
ERROR

httpd.conf
<Directory "/">
ErrorDocument 400 /var/www/err.html
ErrorDocument 401 /var/www/err.html
ErrorDocument 403 /var/www/err.html
ErrorDocument 404 /var/www/err.html
ErrorDocument 500 /var/www/err.html
</Directory>


httpd.confに「ServerTokens ProductOnly」と「ServerSignature Off」を記述する方法がある。

httpd.conf
ServerTokensProductOnly
ServerSignature Off
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可