サーバのパッケージを最新に維持することはもちろんですが、ゼロデイ攻撃等に備える意味も含めて無用なバージョン公開は避けるのが鉄則です。
ちなみに、 RHEL 含め Amazon Linux 等でマイナーまで同じバージョンの Apache や Nginx が使用されていたとしても、更新がちゃんとすぐに反映されていれば脆弱性はすぐに対策されています。
Web サーバ側の設定
Apache
# Apache のバージョンを非表示 ServerTokens Prod # Rails の X-Powered-By ヘッダを消す Header always unset X-Powered-By # ファイルの一覧表示を許可しない(デフォルトだと有効になっているので注意) Options -Indexes
Nginx
# Nginx のバージョン情報を非表示 http { server_tokens off; #... }
アプリケーション側の施策
PHP
/etc/php.ini
# PHP のバージョンを非表示 expose_php = Off
投稿者紹介
-
* Bio: Software Engineer, Network and Server Engineer
* Certification:
IPA: FE, AP, Network Specialist
Cisco: CCNA R&S, CCNP R&S
LPI: LPIC Level1, Level2, LPIC-3 Specialty LPI-304 Virtualization &High Availability