DreamerDreamのブログ

夢想家の夢です。

RaspberryPiを自宅サーバーにするためにーWebページエラーでApacheバージョン等を表示させないー

Webサーバーで存在しないファイルへアクセスされた場合、「404 Not Found」が表示される。

しかし、デフォルトのままではメッセージの下にサーバのバージョンが表示される。

 

f:id:DreamerDream:20160108092756p:plain

このままではRaspbianで動いているのでRaspberryPiサーバだとバレバレになるのでダメ(Apache2.2のときはDebianと表示されていたのに・・・)。

もし脆弱性が発見されたApacheのバージョンが表示されるなんてことになったら格好の餌食になる。

 

なのでApacheの設定でこれらの情報を表示させないようにする

 

個別で対応させるには 

/etc/ahache2/sites-available/以下のWebサイトの設定ファイルに以下の行を追加する。

ServerSignature Off

こんな感じ

f:id:DreamerDream:20160108093153p:plain

 

今後追加するサイト全部にも適応させる場合は上の方法ではなく

Apache2.4の場合

/etc/apache2/conf-available/security.conf

Apache2.2.22の場合

/etc/apache2/conf.d/security.conf

コメントアウトされているServerSignature Offの#を外し、ServerSignature Onをコメントアウトする。

f:id:DreamerDream:20160108095516p:plain

こうすると全サイトで表示されなくなる。

 

そうすると先ほどのエラーページでApacheのバージョン非表示になる

f:id:DreamerDream:20160108093232p:plain

その他Apacheとだけ表示させたり、細かい設定の参考URL

Apacheのセキュリティ周りの設定を試してみる - yk5656 diary

 

ただ、このように設定していてもスキャナーツールで有名なNmapには通用しないようで一発でRaspbianだとバレた。ポートを変更していてもバレてるし、強いなNamap・・・

f:id:DreamerDream:20160108144037p:plain

通常スキャンした場合のターゲットのApacheアクセスログ、Nmapを使っていると確認できる。

f:id:DreamerDream:20160108150728p:plain

チョットしたイタズラは防げるかもしれないが当然悪意のある人間は強力なツール複数使ってくるのでブラウザで表示されないからと言っても過信は禁物。