Apacheのセキュリティ周りの設定を試してみる
VirtualBoxにCentOSをとりあえずインストール
の続き
Apacheの下記のセキュリティ周りの設定を試してみる。
・ServerTokens
・ServerSignature
・Options Indexs
ServerTokens
ServerTokens OS
デフォルトでは、ServerTokensは「OS」になっている。
$ sudo vi /etc/httpd/conf/httpd.conf ServerTokens OS
http://サーバーのアドレス/
にアクセスすると、
レスポンスヘッダーのServerのところにApacheのバージョンが表示される。
ServerTokens ProductOnly
ServerTokensを「ProductOnly」に設定すると、
$ sudo vi /etc/httpd/conf/httpd.conf ServerTokens ProductOnly
ServerのところにはApacheとだけ表示され、バージョンは表示されない。
ServerTokens Full
ちなみに、ServerTokensを「Full」に設定すると、
$ sudo vi /etc/httpd/conf/httpd.conf ServerTokens Full
Serverのところには様々な情報が表示される。
ServerSignature
ServerSignature On
デフォルトでは、ServerSignatureは「On」になっている。
$ sudo vi /etc/httpd/conf/httpd.conf ServerSignature On
存在しないページなどにアクセスし、エラー画面を表示した時、
画面のフッターには様々な情報が表示される。
ServerSignature Off
ServerSignatureを「Off」に設定すると、
$ sudo vi /etc/httpd/conf/httpd.conf ServerSignature Off
フッターが表示されなくなる。
ServerSignature EMail
ちなみに、ServerSignatureを「EMail」に設定すると、
$ sudo vi /etc/httpd/conf/httpd.conf ServerSignature EMail
アドレスの部分が、ServerAdminで設定したEmailアドレスへのリンクになる。
Options Indexs
デフォルトでは、Indexesが有効になっている。
$ sudo vi /etc/httpd/conf/httpd.conf <Directory "/var/www/html"> Options Indexes FollowSymLinks
適当なディレクトリを作成して
$ mkdir /var/www/html/test
http://サーバーのアドレス/test
にアクセスすると、
ディレクトリの中身が表示される。
「-」を付けて、無効にすると、
$ sudo vi /etc/httpd/conf/httpd.conf <Directory "/var/www/html"> Options -Indexes FollowSymLinks
表示できなくなる。
