セキュリティ監査で指摘される前にせめて以下はやっておきたいメモ
【確認コマンド】
curl -v -X GET http://localhost
初期値だと以下の様なバージョン情報が返る
< Server: Apache/2.4.41 (Amazon) OpenSSL/1.0.2k-fips PHP/7.3.10 < X-Powered-By: PHP/7.3.10
対策
■Apache
ServerTokens ProductOnly ; (クライアントに送り返す Server 応答ヘッダにバージョンを入れない) ServerSignature Off ; (エラー画面に表示されるApacheのバージョン情報等を表示しない)
■PHP
/etc/php.ini
expose_php = Off
反映
service httpd configtest service httpd restart
→上記の様なバージョン情報は出なくなる
おまけ
■nginx
/etc/etc/nginx/nginx.conf
vi nginx.conf # 以下を追記 server_tokens off;