[Tips] 보안취약점 조치 - Apache 웹서버 정보 숨기기

Apache 웹서버 정보를 숨기는 보안취약점 조치 관련하여 2개(ServerTokens, ServerSignature)의 파라미터 설정이 필요하다.

1. ServerTokens 파라미터 설정

HTTP 응답헤더 웹서버에 대한 정보를 얼마나 상세하게 전달할 것인지를 결정하는 파라미터이다.

httpd.conf 에 아래와 같이 "ServerTokens"를 설정하면 된다.
ServerTokens Prod|Major|Minor|Min|OS|FULL

[값 설명]

* Prod - 웹서버 정보 만 전달 ex) Apache * Major - 웹서버 정보 + Major 버전 정보 만 전달 ex) Apache/2 * Minor - 웹서버 정보 + Minor 버전 정보 까지 전달 ex) Apache/2.4 * Min - 웹서버 정보 + Minimum 버전 정보 까지 전달 ex) Apache/2.4.1 * OS - 기본값, 웹서버 정보 + 버전 정보 + OS 정보 전달 ex) Apache/2.4.1 (CentOS) * Full - 웹서버 정보 + 버전 정보 + OS 정보는 물론 PHP 등 많은 정보 전달 ex) Apache/2.4.1 (CentOS) DAV/2 PHP 5.6

참고로,  설정방법은 아래와 같다.

ServerTokens  Prod

2. ServerSignature 파라미터 설정

Apache 서버에 의해 생성된 문서의 footer에서 Apache 웹서버 정보를 출력하지 않게 설정한다.

httpd.conf 에 아래와 같이 "ServerSginature"를 "OFF"로 설정하면 된다.
ServerSignature On/Off