默认的 Apache 配置一般会在服务器自动生产的页面底端附带一个“签名”,包含 Apache版本、运行于什么系统、加载了什么模块等等。控制开关为 ServerSignature,默认为On,修改为Off即可。 http header里也会返回服务器的一些基本信息,比如某搜索引擎网站的 http header 返回如下字段: Server: Apache/2.0.54 (Unix) PHP/4.4.1,某论坛的则是:Server: Apache/2.0.53 (Unix) Resin/3.0.11。(使用 Firefox 的扩展 livehttpheaders 可以很方便的查看 http header)。这是ServerTokens这个选项控制的,默认为Full(返回完整信息),修改为Prod(仅返回产品信息),返回的字段将只有Apache。(修改源码可以把这个产品信息"Apache"修改为别的字串,不过个人不建议这么做,而且不知这么作是否违反Apache协议)。

虽然这些做法对一心要搞破坏的 hacker 来说并不一定有效,但是,请相信暴露的信息越少,对你网站的安全就多一点点帮助。

ReadMore: ONLamp.com: A Day in the Life of #Apache

Technorati Tags: , ,