我在我的一本 Rails 书中发现了一些东西,说我应该设置
ServerSignature Off
ServerTokens Prod
当应用程序出错时,禁用 apache 在生产中显示服务器信息。这是必要的吗?我在 prod 中看到的唯一错误消息是标准 Rails 生产错误消息。我从来没有看到任何服务器信息。
我需要设置任何其他与安全相关的 apache 配置变量吗?
我在我的一本 Rails 书中发现了一些东西,说我应该设置
ServerSignature Off
ServerTokens Prod
当应用程序出错时,禁用 apache 在生产中显示服务器信息。这是必要的吗?我在 prod 中看到的唯一错误消息是标准 Rails 生产错误消息。我从来没有看到任何服务器信息。
我需要设置任何其他与安全相关的 apache 配置变量吗?
这不是必需的,但建议这样做。通过显示服务器签名和完整的服务器令牌,您为潜在的黑客提供了一种更简单的方法来识别如何破解您的系统。例如,使用 ServerSignature 和完整的 ServerToken,黑客将确切知道您正在运行的操作系统(包括版本)和服务器技术。
例子。将 ServerToken 设置为 full 您可能会得到:
Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5 和 Suhosin-Patch 服务器
将它设置为 prod 你只会得到
阿帕奇
这篇关于 slicehost的文章很好地概述了如何处理 serverSignature 和 serverTokens