たった2行でできるWebサーバ防御の「心理戦」セキュリティ対策の「ある視点」(1)(2/3 ページ)

» 2007年07月19日 00時00分 公開

まずは“対策”

対策(1)HTTPリプライヘッダの抑制方法

 Apacheの設定ファイル(/usr/local/apache/conf/httpd.confなど)をエディタで開き、「ServerTokens」と書かれた行を探し、変更を加える。もし設定ファイル内に当該行が存在しない場合は、新たに追加する。この部分はデフォルトでは以下のようになっている。

ServerTokens Full

 この状態では、すべての情報をHTTPリプライヘッダに含ませてしまうことになるのでオプションである「Full」と書かれている部分を

ServerTokens ProductOnly

と変更し、Apacheを再起動することで、以下のようにHTTPリプライヘッダには最小限の情報しか表示されないようになる。

C:\>nc www.target-example.jp 80    Webサーバへ接続

HEAD / HTTP/1.0            HEADリクエストを送信

HTTP/1.1 200 OK            サーバの応答(HTTPリプライヘッダ)

Date: Fri, 29 Jun 2007 18:18:18 GMT

Server: Apache           Serverフィールド

Last-Modified: Thu, 27 Jul 2006 09:44:28 GMT

ETag: "xxxxx-xxx-xxxxxxxx"

Accept-Ranges: bytes

Content-Length: 1737

Connection: close

Content-Type: text/html

リスト1 対策後のHTTPリプライヘッダ

 また、ServerTokensでは「Full」「ProductOnly」以外にも設定可能なオプションがある。設定オプションとその効果については以下のとおりである。

([]内の文字列は省略可能)

  • Prod[uctOnly]
    「Server:Apache」とApacheであるということのみを表示
  • Min[imal]
    「Server:Apache/1.3.37」のようにApacheのバージョンまでを表示
  • OS
    「Server:Apache/1.3.37(Unix)」のようにApacheのバージョン情報に加えOS情報まで表示
  • Full(デフォルト)
    「Server:Apache/1.3.37(Unix) PHP/4.3.9」のようにApacheのバージョン、OS情報に加え、モジュール情報を表示

対策(2)エラーページのフッタの抑制方法

 こちらの抑制についても、対策(1)同様、Apacheの設定ファイル(/usr/local/apache/conf/httpd.confなど)に変更を加えることで対策を行う。

 設定ファイルをエディタで開き、「ServerSignature」と書かれた行を探し変更を加える。設定ファイル内に当該行が存在しない場合は、新たに追加する。デフォルトでは以下のようになっている。

ServerSignature On

 この状態では、先ほど紹介したようにフッタ内にバナー情報が含まれることとなる。

よって、ServerSignatureのオプションである「On」を変更し以下のようにする。

ServerSignature Off

 そして、Apacheを再起動することで、フッタ内からバナー情報が削除される。

図2 エラーページからバナー情報が消えている 図2 エラーページからバナー情報が消えている

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

Security & Trust 鬯ッ�ッ�ス�ョ�ス�ス�ス�ォ�ス�ス�ス�ス�ス�ス�ス�ェ鬯ョ�ッ陋ケ�コ�ス�サ郢ァ謇假スス�ス�ス�ソ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�コ鬯ョ�」陋ケ�ス�ス�ス�ス�オ鬮ォ�エ遶擾スオ�ス�コ�ス�キ�ス�ス�ス�ク�ス�ス�ス�キ�ス�ス�ス�ス�ス�ス�ス�ケ鬮ォ�エ髮懶ス」�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ウ鬯ッ�ゥ陝キ�「�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ュ鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ髮懶ス」�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ウ鬯ッ�ゥ陝キ�「�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ー

鬯ッ�ョ�ス�ォ�ス�ス�ス�エ鬮ッ譎「�ス�キ�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ャ鬯ッ�ョ�ス�ォ�ス�ス�ス�エ鬯ッ�イ�ス�ス�ス�シ陞滂スイ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�・鬯ッ�ョ�ス�ォ�ス�ス�ス�エ鬮ッ譎「�ス�カ�ス�ス�ス�キ�ス�ス�ス�ス�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�ッ鬯ョ�」陷エ�ス�ス�ス�ス�ォ�ス�ス�ス�ス�ス�ス�ス�」

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。