oinume journal

Scratchpad of what I learned

Apacheが出力するServerヘッダを隠す

Apacheでは何も設定しないとデフォルトでレスポンスヘッダーに

Server: Apache

のような情報を残してしまいます。ServerTokens ProductOnly としてもApacheであることは隠せないので、mod_headersを使って

Header unset Server

とするのが正解なのか一応ぐぐってみたところ、ここのような「ソースを修正する」という残念なアドバイスが載っていました。それmod_headersでできるよ!とつっこんであげたかったのですが、解答が締め切られていたのが残念です。

ちなみにPHPは何も設定しないと

X-Powered-By: PHP/5.2.6-2ubuntu4

 

というようなヘッダーを出してしまうので、これもあわせて

Header unset X-Powered-By

しておきました。php.iniを修正すればいいらしいのですが、Ubuntuだとどこにあるのか調べるのが面倒だったのでApache側で対処。しかしデフォルトの設定っていうのは本当に怖いなぁと思いました。

 

2009/6/28 追記:Header unset Serverはリバースプロキシの環境でしかunsetできなさそうです。Header set Server hogeのようにして隠すことはできるはずです(未検証ですが)