Apache Web Server 안전을 개량하십시오: 우두머리를 무능하게 하는 사용 ServerTokens와 ServerSignature

아파치 HTTPD 웹 서버가 어떤 웹 페이지 또는 과실 페이지든지 생성할 때, 버전에 관하여 약간 중요한 정보 및 체계에 실행된 다른 세부사항은 토륨 웹사이트 서버 우두머리에서 표시된다. 예를 들면, 정보 원본은 이것 같이 일지도 모른다:

서버: Apache/1.3.37 (유닉스) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 중요한 5.0.2.26 35.SR1.2 mod_ssl/2.8.28 OpenSSL/0.9.7a PHP-CGI/0.1b

서버: xx.xx.xx.xx 항구 80에 Apache/2.0.53 (Ubuntu) PHP/4.3.10-10ubuntu4 서버

기계에 이용된 아파치 리눅스 운영 체계 및 소프트웨어에 관하여 서버 우두머리 폭로 중요한 버전 그리고 이체 정보에 있는 선은, 간접적으로 해커에게 존재되는 가능한 안전 구멍을 드러내고, 또는 적어도 악의 있는 공격기를 유효한 공격 점을 위한 당신의 체계를 확인하게 쉽게 한다.

아파치가 전체 세계에 HTTP 웹 서버 이 메시지를 공중으로 방송하지 않으며 가능한 안보 문제를 고치지 않는다는 것을 확인하기 위하여는, 이 2개의 지시를 변경하십시오 ServerTokes 그리고 ServerSignature httpd.conf 구성 파일에서.

1. 뿌리 사용자로 로그인하거나 웹 서버에 sudo를 실행하십시오.
2. vi의 또는 다른 문서 편집기를 가진 httpd.conf 또는 apache2.conf를 (아파치 2에서) 열고 편집하십시오. 일반적으로 (유닉스가 당신 사용하고 있는 Apache1.3를 위해) /etc/httpd/conf/에서 또는 /etc/apache2/ 또는 /etc/apache/ 있는 아파치 윤곽.
3. 선을을 가진 찾아내십시오 ServerTokens. 당신은 타자를 치는 "/ServerTokes"에 의해 수색을 실행할 수 있고 명중은 들어간다.
4. 아파치 1.3에서는, 당신은 아마 선 시작을을 가진 볼 것이다 충분히 #ServerTokes 이 경우에는, # 특성 제거하거나 삭제하십시오 (d 열쇠를 눌러서). 선이 된다 그래야, 또한 찌르기 (다수 특성을 대체하기 위하여 1개의 특성을 대체하는 압박 r 열쇠 되기 위하여 가득 차있는 것, 또는 R)가 변경하십시오 ServerTokens 찌르기. 아파치 2.0 또는 2.2에서는, 선은 일반적으로 존재하지 않는다. 이렇게 수색은 실패할 것이다. 이 경우에는, 설정 파일의 바닥에 가고, 뒤에 오는 원본을 가진 새로운 구간을 추가하십시오. 당신은 o 열쇠를 눌러서 새로운 구간을 추가할 수 있다.

   ServerTokens 찌르기

5. 다음, ServerSignature를 위한 수색. Apache13에서는, 선은 ServerTokens의 선의 위 다만 일 것인다. 이것 같이 본다 그래야 이미 이 선이 없는 Apache2에는에서 선을, 안으로 추가한다 새것에 편집하거든.

   떨어져 ServerSignature

6. 지금쯤은 이미 아파치 구성 파일에는 이 아래에로 놓인 2개의 지시가 있어야 한다:

   떨어져 ServerSignature
   ServerTokens 찌르기

   The first line “ServerSignature Off” instructs Apache not to display a trailing footer line under server-generated documents (error messages, mod_proxy ftp directory listings, mod_info output, and etc) which displays server version number, ServerName of the serving virtual host, email setting, and creates a “mailto:” reference to the ServerAdmin of the referenced document.

   The second line “ServerTokens Prod” configures Apache to return only Apache as product in the server response header on very page request, suppressing OS, major and minor version info.

7. Save and close the config file by pressing Shift-Colon, and then type wq keys, and hit Enter.
8. Restart Apache. Typical command is service httpd restart or /etc/init.d/apache2 restart.
9. Now, you will get only the Apache in the server response header:

   Server: Apache

IMPORTANT: This is a machine translated page which is provided "as is" without warranty. Machine translation may be difficult to understand. Please refer to original English article whenever possible.

Share and contribute or get technical support and help at My Digital Life Forums.

Related Articles

• Installing Web Server in FreeBSD 6.0 with Apache 2.2, MySQL 5.0 and PHP 5 - Part 4
• Apache Status (whm-server-status) in cPanel WebHost Manager Returns Blank Page
• Easily Set Up Web Server with XAMPP
• Remove and Uninstall or Disable ModSecurity (mod_security)
• Starting Apache HTTPD Failed Due to Cannot Open or No Such mod_bwlimited, mod_log_bytes or mod_bandwidth Files
• cPanel WHM Failed to Receive Status Information From Apache Error
• winnt_accept: Asynchronous AcceptEx failed Error in Apache Log
• Apache Warn NameVirtualHost *:80 Has No VirtualHosts Error When Start
• Install Web Server in Windows XP with Apache2, PHP5 and MySQL4 - Part 2
• Auto Shutdown and Restart Apache HTTPD Service Daemon at Preset Time

This entry was posted on Sunday, July 22nd, 2007 at 3:31 am and is filed under Webmaster Resources. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.