問題描述

服務器的 Apache 信息如果被探測會帶來安全隱患，如下圖：

在 http 頭部信息也可以看到服務器及 Apache 版本信息

因此作為服務器加固的一個部分，建議禁止網站服務器返回版本信息。

解決方案

禁用 Apache 網站服務器簽名可以通過編輯 Apache 配置文件來實現。

注意：這里以常見的配置文件位置為例（用戶應以實際的配置文件路徑為準）.

在Debian，Ubuntu上：

$ vi /etc/apache2/apache2.conf

在CentOS上：

$ vi /etc/httpd/conf/httpd.conf

將下面兩行添加到 Apache 配置文件底部。

ServerSignature Off
ServerTokens Prod

修改保存后，重啟網站服務即可生效，常見的重啟服務方法如下：

$ service apache2 restart (Debian, Ubuntu)
$ service httpd restart (CentOS/Aliyun linux)
$ systemctl restart httpd.service (Fedora, CentOS 7)

配置解釋：

• ‘ServerSignature Off’ 主要是為了讓 Apache 網站服務器在所有錯誤頁面上隱藏 Apache 版本信息。

• ‘ServerTokens Prod’ 主要是為了在 HTTP 響應頭中將服務器標記壓縮到最小，否則Apache 服務器將仍然在 HTTP 回應頭部包含詳細的服務器標記，這會泄漏 Apache 的版本號。

配置效果如下圖：