メモ：Apache(/nginx)とPHPのバージョン表示を無効化する

セキュリティ監査で指摘される前にせめて以下はやっておきたいメモ

【確認コマンド】

curl -v -X GET http://localhost

初期値だと以下の様なバージョン情報が返る

< Server: Apache/2.4.41 (Amazon) OpenSSL/1.0.2k-fips PHP/7.3.10
< X-Powered-By: PHP/7.3.10

対策

■Apache

/etc/httpd/conf/httpd.conf

ServerTokens ProductOnly ; (クライアントに送り返す Server 応答ヘッダにバージョンを入れない)
ServerSignature Off ;  (エラー画面に表示されるApacheのバージョン情報等を表示しない)

■PHP

/etc/php.ini

expose_php = Off

反映

service httpd configtest
service httpd restart

→上記の様なバージョン情報は出なくなる

おまけ

■nginx

/etc/etc/nginx/nginx.conf

vi nginx.conf
# 以下を追記
     server_tokens        off;

【参照】

https://www.ritolab.com/entry/45
Apache でバージョン情報等を出さない - Qiita
https://httpd.apache.org/docs/2.4/ja/mod/core.html#servertokens
HTTPの応答ヘッダーに含まれるPHPバージョンを隠す方法