Apache服务隐藏版本号

安全部门扫描apache漏洞，需要升级apache版本或隐藏版本号。

软件的漏洞信息和特定版本是相关的，因此，软件的版本号对攻击者来说是很有价值。

在默认情况下，Apache Httpd 系统会把Apache版本模块都显示出来（http返回头信息）。如果列举目录的话，会显示域名信息，服务器版本号，操作系统类型等。
隐藏Apache版本号的方法是修改Apache的配置文件：
vim /etc/httpd/conf/httpd.conf
返回客户端头信息：
[root@it conf]# curl --head 127.0.0.1
HTTP/1.1 200 OK
Date: Thu, 24 Nov 2016 15:40:00 GMT
Server: Apache/2.2.26 (CentOS)
X-Powered-By: PHP/5.5.9
Vary: Cookie,Accept-Encoding,User-Agent
X-Pingback: http://blog.mimvp.com/xmlrpc.php
Cache-Control: max-age=600
Expires: Thu, 24 Nov 2016 15:40:00 GMT
Content-Type: text/html; charset=UTF-8
上面头信息中，会显示服务器类型和版本(Apache/2.2.26)，以及操作系统(CentOS)
修改 ServerTokens OS 为 ServerTokens productonly
重启 Apache ： /etc/init.d/httpd restart
再次返回头信息如下：
[root@it conf]# curl --head 127.0.0.1
HTTP/1.1 200 OK
Date: Thu, 24 Nov 2016 15:50:53 GMT
Server: Apache
X-Powered-By: PHP/5.5.9
Vary: Cookie,Accept-Encoding,User-Agent
X-Pingback: http://blog.mimvp.com/xmlrpc.php
Cache-Control: max-age=600
Expires: Thu, 24 Nov 2016 15:50:53 GMT

Content-Type: text/html; charset=UTF-8

网上还有些修改版本号的，需要重新编译安装，线上环境不建议这么折腾，隐藏版本号就好。