这几天天有客服那边反应,有客户下载我们官网上的离线升级包出问题(其实就一小部分用户),昨天就在之前搭建ubuntu的虚拟机上安装了个apache,提供这部分用户下载。这里是路由器提供了端口映射,用户可用过外网访问内网数据
完成后,看到怎么有apache的版本号呢,感觉很不安全,然后找了找,感觉大家以后应该能用到
apache apt-get安装的
方法:
Apache主机在默认状态下,如果遭遇错误页面,除了提示出错之外,还会将你的机器软件环境显示出来,如你的Apache版本,PHP版本……这是不是有点不安全?
vim /etc/apache2/conf.d/security
ServerTokens Prod
ServerSignature Off
完成后,看到怎么有apache的版本号呢,感觉很不安全,然后找了找,感觉大家以后应该能用到
apache apt-get安装的
方法:
Apache主机在默认状态下,如果遭遇错误页面,除了提示出错之外,还会将你的机器软件环境显示出来,如你的Apache版本,PHP版本……这是不是有点不安全?
vim /etc/apache2/conf.d/security
ServerTokens Prod
ServerSignature Off
这样就不会显示系统及apache的版本,相对安全了一点。
ServerTokens用来设置http头部返回的Apache版本信息。一般会带有如下几个参数,这些参数的含义和作用说明如下。
Prod:仅软件名称,例如apache。
Major:包括主版本号,例如apache/2。
Minor:包括次版本号,例如apache/2.0。
Min:仅Apache的完整版本号,例如apache/2.0.54。
OS:包括操作系统类型,例如apache/2.0.54(Unix)。
Full:包括Apache支持的模块及模块版本号,例如Apache/2.0.54 (Unix) mod_ssl/2.0.54 OpenSSL/0.9.7g。
ServerSignature
控制由系统生成的页面(错误信息,mod_proxy ftp directory listing等等)的页脚中如何显示信息。
可在全局设置文件中控制,或是通过.htaccess文件控制
默认为”off”(ServerSignature Off),有些Linux发行版本可能会打开这个阀门,比如Debian在默认的虚拟主机上默认将这个阀门设置为开放
全局阀门的阀值会被虚拟主机或目录单位的配置文件中的阀值所覆盖,所以,必须确保这样的事情不应该发生
可用的阀值为下面所示:
Off (default): 不输出任何页脚信息 (如同Apache1.2以及更旧版本,用于迷惑)
On:输出一行关于版本号以及处于运行中的虚拟主机的ServerName (2.0.44之后的版本,由ServerTokens负责是否输出版本号)
EMail: 创建一个发送给ServerAdmin的”mailto”
编辑回复