我在其中一本铁轨书中碰巧说应该设定
ServerSignature Off
ServerTokens Prod
当应用程序启动时,禁止apache在生产中显示服务器信息。这有必要吗?我在产品中看到的唯一错误消息是标准的Rails生产错误消息。我从未看到任何服务器信息。
我还需要设置其他与安全性相关的apache配置变量吗?
最佳答案
不必要,但建议使用。通过显示服务器签名和完整的服务器令牌,您为潜在的黑客提供了一种更简单的方法来识别如何对您的系统进行黑客攻击。例如,在启用ServerSignature并使用完整的ServerToken的情况下,黑客将确切知道您正在运行的操作系统(包括版本)和服务器技术。
例。将ServerToken设置为full可能会得到:
带有Suhosin-Patch Server的Apache / 2.2.8(Ubuntu)PHP / 5.2.4-2ubuntu5
设置为prod后,您只会得到
阿帕奇
This article on slicehost很好地概述了如何处理serverSignature和serverTokens