前些陣子看到 Netcraft 這個網站,只要打上你的 domain name 就可以知道過去所有有關 Web Server 的相關資訊,看起來很強大吧 :D

不過令人擔心的是,別人也能獲知同樣的資訊 ~ 這樣我的東西不就被人看光光了嗎?

要是哪一天我使用的 Web Server 有重大漏洞,且又被別人發現,那不就成為駭客眼中的肥羊了嗎?

在閱讀了有關無聊人的無聊故事這篇文章後,我也要對我的 Apache 加工啦 :D
參照 core - Apache HTTP Server 的設定說明可以找到二個參數


ServerSignatureServerTokens

ServerSignature 是指當網站連結有錯誤訊息產生時,在網頁的下方會出現有關站台資訊的提示訊息 ~ 不過好在此選項預設是 Off

但是我們要了解所出現的站台資訊從何而來?原來就是 ServerTokens !!

引用一下有關 ServerTokens 的參數說明

ServerTokens Prod[uctOnly]
Server sends (e.g.): Server: Apache
ServerTokens Major
Server sends (e.g.): Server: Apache/2
ServerTokens Minor
Server sends (e.g.): Server: Apache/2.0
ServerTokens Min[imal]
Server sends (e.g.): Server: Apache/2.0.41
ServerTokens OS
Server sends (e.g.): Server: Apache/2.0.41 (Unix)
ServerTokens Full (or not specified)
Server sends (e.g.): Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2


ServerTokens 預設的參數就是 Full,難怪我的資訊會被 Netcraft 看光光

知道原因之後就在 httpd.conf 將 ServerTokens 設定為 Prod 吧 :D
Restart Apache !!!

雖然此動作只能防小人不能防君子,但多少還是有點作用 ~

不過系統的安全是掌握在管理者的手中,要時時注意有沒有 Security Patch,時時關心你的系統,不要等到它掛掉了才後悔莫及 ~

願大家的 Server 都穩如泰山 :p

bojack 發表在 痞客邦 留言(0) 人氣()