Apacheのバージョンを非表示にする

セキュリティ

外部からServerのバージョンが見えているときに、見えなくする方法について記載します。
エラー画面に表示されるバージョン情報も一緒に表示させなくしましょう。

環境

OS Ubuntu 24.04.1 LTS
webServer Apache/2.4.58

確認方法

タンスのServerAnalyzerを使ってホームページを見たときに、次のようになっていると外部からServerのバージョンが見える状態になっています。
タンスのServer Analyzer (tansunohazama.sakura.ne.jp)

常に最新バージョンになっていることを外部にアピールする人以外は非表示にした方が賢明です。

初期設定の404エラー画面はこんな感じです。

バージョンとポート番号まで公開されていますので、見えなくしましょう。

修正方法

次のコマンドを使ってconfファイルを修正することで非表示にできます。

# apache2のconfファイルを開く
$ sudo nano /etc/apache2/apache2.conf

# 初期設定だとServerTokens ServerSignature の項目がないのでapache2.confの一番下に追加
# コメントを入れておくと戻すときに便利です。

# add ↓ serverversion hide 2024.10.17
ServerTokens Prod
ServerSignature Off
# add ↑

ServerTokens Prod
 httpヘッダ情報にServerのバージョン情報を表示させなくする

ServerSignature Off
 404エラー画面にサーバ情報を表示させなくする

修正後再起動を忘れずに

$ sudo systemctl restart apache2

結果確認

タンスのServerAnalyzerを使った結果

404エラー画面を表示した結果

 これで
   「お宅のサーバ、バージョンが古いんじゃありませんの?」
って言われなくなります。
 こまめにアップデートをすることも大事だと思いますが、こういう地道な対策も重要ですね。