Linux系统入门学习：如何在Apache网站服务器上关闭服务器签名

207次阅读

共计 2010 个字符，预计需要花费 6 分钟才能阅读完成。

问题：每当 Apache2 网站服务器返回错误页时（如，404 页面无法找到，403 禁止访问页面），它会在页面底部显示网站服务器签名（如，Apache 版本号和操作系统信息）。同时，当 Apache2 网站服务器为 PHP 页面服务时，它也会显示 PHP 的版本信息。我如何在 Apache2 网站服务器上关闭这些网站服务器签名呢？

透露网站服务器带有服务器 /PHP 版本信息的签名会带来安全隐患，因为你基本上将你系统上的已知漏洞告诉给了攻击者。因此，作为服务器加固的一个部分，强烈推荐你禁用所有网站服务器签名。

Linux 系统入门学习：如何在 Apache 网站服务器上关闭服务器签名

禁用 Apache 网站服务器签名可以通过编辑 Apache 配置文件来实现。

在 Debian，Ubunt 或者 Linux Mint 上：

$ sudo vi /etc/apache2/apache2.conf

在 CentOS，Fedora，RHEL 或者 Arch Linux 上：

$ sudo vi /etc/httpd/conf/httpd.conf

将下面两行添加到 Apache 配置文件底部。

ServerSignature Off
ServerTokens Prod

然后重启网站服务器以使修改生效：

$ sudo service apache2 restart (Debian,UbuntuorLinuxMint)
$ sudo service httpd restart (CentOS/RHEL 6)
$ sudo systemctl restart httpd.service (Fedora,CentOS/RHEL 7,ArchLinux)

第一行‘ServerSignature Off’使得 Apache2 网站服务器在所有错误页面上隐藏 Apache 版本信息。

Linux 系统入门学习：如何在 Apache 网站服务器上关闭服务器签名

然而，若没有第二行的‘ServerTokens Prod’，Apache 服务器将仍然在 HTTP 回应头部包含详细的服务器标记，这会泄漏 Apache 的版本号。

Linux 系统入门学习：如何在 Apache 网站服务器上关闭服务器签名

第二行‘ServerTokens Prod’所要做的是在 HTTP 响应头中将服务器标记压缩到最小。

因此，同时放置两行时，Apache 将不会在页面中或者 HTTP 响应头中泄漏版本信息。

Linux 系统入门学习：如何在 Apache 网站服务器上关闭服务器签名

另外一个潜在的安全威胁是 HTTP 响应头中的 PHP 版本信息泄漏。默认情况下，Apache 网站服务器通过 HTTP 响应头中的“X-Powered-By”字段包含有 PHP 版本信息。如果你想要在 HTTP 头部中隐藏 PHP 版本，请使用文本编辑器打开 php.ini 文件，找到“expose_php = On”这一行，将它改为“expose_php = Off”即可。

Linux 系统入门学习：如何在 Apache 网站服务器上关闭服务器签名

在 Debian，Ubunt 或者 Linux Mint 上：