我在我的一本 Rails 书中发现了一些东西,说我应该设置
ServerSignature Off
ServerTokens Prod
当应用程序出错时,禁用 apache 在生产中显示服务器信息。这是必要的吗?我在 prod 中看到的唯一错误消息是标准 Rails 生产错误消息。我从来没有看到任何服务器信息。
我需要设置任何其他与安全相关的 apache 配置变量吗?
问问题
5349 次
1 回答
9
这不是必需的,但建议这样做。通过显示服务器签名和完整的服务器令牌,您为潜在的黑客提供了一种更简单的方法来识别如何破解您的系统。例如,使用 ServerSignature 和完整的 ServerToken,黑客将确切知道您正在运行的操作系统(包括版本)和服务器技术。
例子。将 ServerToken 设置为 full 您可能会得到:
Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5 和 Suhosin-Patch 服务器
将它设置为 prod 你只会得到
阿帕奇
这篇关于 slicehost的文章很好地概述了如何处理 serverSignature 和 serverTokens
于 2009-07-13T02:14:37.490 回答