阿里云ECS 服务器隐藏 Apache 版本信息

服务器的 Apache 信息如果被探测会带来安全隐患，如下图：

在 http 头部信息也可以看到服务器及 Apache 版本信息

 因此作为服务器加固的一个部分，建议禁止网站服务器返回版本信息。

解决方案

---

禁用 Apache 网站服务器签名可以通过编辑 Apache 配置文件来实现。

注意：这里以常见的配置文件位置为例（用户应以实际的配置文件路径为准）.

在Debian，Ubuntu上：

$ vim /etc/apache2/apache2.conf

在CentOS上：

$ vim /etc/httpd/conf/httpd.conf

将下面两行添加到 Apache 配置文件底部。

ServerSignature Off

ServerTokens Prod

 修改保存后，重启网站服务即可生效，常见的重启服务方法如下：

$ service apache2 restart (Debian,Ubuntu)

$ service httpd restart (centos/aliyun linux)

$ systemctl restart httpd.service (fedora,centos7)

配置解释：

• ‘ServerSignature Off’ 主要是为了让 Apache 网站服务器在所有错误页面上隐藏 Apache 版本信息。
• ‘ServerTokens Prod’ 主要是为了在 HTTP 响应头中将服务器标记压缩到最小，否则Apache 服务器将仍然在 HTTP 回应头部包含详细的服务器标记，这会泄漏 Apache 的版本号。

配置效果如下图：