[Apache] 응답 메시지 헤더 정보 숨기기

안녕하세요

Apache 응답 메시지 헤더 정보 숨기기 항목에 대한 내용을 포스팅해보겠습니다.

항목 설명 및 위협

악의적인 목적을 가진 사용자가 대상 시스템의 정보를 획득할 우려가 존재한다.

HTTP Header를 통해 웹 서버의 정보를 유추할 수 있으므로 적절한 설정을 통해 노출되는 정보를 최소화해야한다.

점검 방법

1. Apahce 설정파일 확인

Apache 설정파일 내 ServerTokens와 ServerSignature 지시자의 옵션을 확인

[root@localhost ~]# cat /etc/httpd/conf/httpd.conf | egrep "ServerTokens|ServerSignature"
[root@localhost ~]#

2. curl 명령어를 통한 확인

C:\Users>curl -I http://192.168.249.128/test.html
HTTP/1.1 200 OK
Date: Tue, 09 May 2023 08:54:39 GMT
Server: Apache/2.4.6 (CentOS)
Last-Modified: Mon, 05 Dec 2022 05:56:49 GMT
ETag: "63-5ef0e5a6bc1d4"
Accept-Ranges: bytes
Content-Length: 99
Content-Type: text/html; charset=UTF-8

C:\Users>curl -I http://192.168.249.128/aaabbbccc
HTTP/1.1 404 Not Found
Date: Tue, 09 May 2023 08:54:50 GMT
Server: Apache/2.4.6 (CentOS)
Content-Type: text/html; charset=iso-8859-1

권고 사항

Apache 설정파일({Apache 설치경로}/conf/httpd.conf)에 ServerTokens, ServerSignature 지시자에 옵션 설정

( 설정 후 Apache 서버 재기동해야 적용됨)

[root@localhost ~]# vi /etc/httpd/conf/httpd.conf
[root@localhost ~]#
[root@localhost ~]# cat /etc/httpd/conf/httpd.conf | egrep "ServerTokens|ServerSignature"
ServerTokens Prod
ServerSignature Off

ServerTokens 옵션은 아래와 같다.

1. Prod : 웹서버의 이름만 알려준다. (Apache)
2. Major : 웹서버의 이름과 Major 버전번호만 알려준다. (Apache2)
3. Minor : 웹서버의 이름과 Minor 버전까지 알려준다. (Apache2.4)
4. Min : 웹서버 이름과 Minimum 버전까지 알려준다. (Apache2.4.6)
5. OS : 웹서버의 이름과 버전, OS 정보를 알려준다. (Apache2.4.6 (Unix)) 
6. Full : 최대한의 정보를 모두 알려준다. (Apache2.4.6 (Unix) Resin/4.x.x)

 

※ 참고사항

httpd.conf에서 Include하여 사용하는 .conf 파일이 존재할 경우 동일 설정 필요

ServerTokens 설정이 존재하지 않는 경우 ServerToken OS가 적용되므로 반드시 설정 필요함

조치 확인

C:\Users>curl -I http://192.168.249.128/test.html
HTTP/1.1 200 OK
Date: Tue, 09 May 2023 09:44:50 GMT
Server: Apache
Last-Modified: Mon, 05 Dec 2022 05:56:49 GMT
ETag: "63-5ef0e5a6bc1d4"
Accept-Ranges: bytes
Content-Length: 99
Content-Type: text/html; charset=UTF-8


C:\Users>curl -I http://192.168.249.128/aaabbbccc
HTTP/1.1 404 Not Found
Date: Tue, 09 May 2023 09:44:52 GMT
Server: Apache
Content-Type: text/html; charset=iso-8859-1

 

Reference

CentOS 아파치 보안권장설정 ServerTokens Prod, ServerSignature Off - 제타위키