欢迎,来自IP地址为:98.81.24.230 的朋友
当有用户请求发送到Apache Web服务器时,默认情况下,Apache会在服务器生成页面把包含版本信息、服务器操作系统以及Apache安装的模块等敏感内容一并发送给请求用户。
这些信息会给入侵者提供许多有用信息,为了避免出现上述情况,本文将讲解如何配置Apache服务器隐藏这些敏感内容。而能够控制这类信息的配置指令分别是ServerSignature和ServerTokens。
ServerSignature(服务器签名)
服务器签名允许在服务器生成页面诸如错误页、FTP代理目录页等页面自动添加一个包含服务器名以及版本信息的页脚。它包含如下三种配置内容:
- On:是指允许页脚内容
- Off:是指禁用页脚内容
- Email:创建一个”mailto:”链接,将引用的内容邮件到该邮箱
ServerTokens(服务器令牌)
服务器令牌用于设定是否在服务器响应文件的header中包含服务器操作系统以及模块信息,根据设置内容不同,Apaceh的响应内容如下所示:
ServerTokens Full (or not specified) Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 ServerTokens Prod[uctOnly] Info sent to clients: Server: Apache ServerTokens Major Info sent to clients: Server: Apache/2 ServerTokens Minor Info sent to clients: Server: Apache/2.4 ServerTokens Min[imal] Info sent to clients: Server: Apache/2.4.2 ServerTokens OS Info sent to clients: Server: Apache/2.4.2 (Unix)
为了隐藏这些信息,可以使用如下命令修改Apache的配置文件:
# sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems # sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
然将的配置文件中的内容修改为如下内容:
ServerTokens Prod ServerSignature Off
最后,重新启动一下Apache服务器让配置生效,敏感内容就不会再出现了。