웹에서 OS 종류, 아파치 버전 숨기기

아파치(APACHE)를 처음 설치하고 나면

기본값으로 설정되어 있어 모두 노출된다.

이를 curl로 HTTP헤더를 조회하거나,

같은 방법으로 404페이지를 띄우면

아파치 버전과 OS종류가 그대로 노출된다.

공격자가 이걸 보고 해당 버전의 취약점을 이용하여

공격할 수 있으므로 숨기는 것이 좋다.

---

yum설치했을때는 파일이 어디에 생성되는지 몰라서

우선 소스설치 한 경우로만 설명한다.

/usr/local/apache/conf/extra/httpd-default.conf

파일을 열어

ServerTokens 를 찾는다.

여기에 사용할 수 있는 값은 아래와 같다.

Full : Apache/2.4.2 (CentOS) PHP .....

Prod : Apache

Major : Apache/2

Minor : Apache/2.4

min or minimal : Apache 2.4.2

OS : Apache 2.4.2 (CentOS)

알기 쉽게 입력했을 때 어떻게 보이는지 옆에 적어두었다.

딱봐도 보안상 좋아보이는 것은 Prod 이다.​

이것만 조절한다고 해서 404페이지에서도 안보이는 것은 아니다.

​

열었던 파일에서

ServerSignature On

을 찾아서 Off 로 변경해준다.

---

위 두가지 방법만 설정해 둬도

아파치 버전, OS종류는 쉽게 노출되지 않는다.