Apache(웹서버) 보안 설정하기 - ServerTokens&ServerSignature

안녕하세요.
이번 포스팅은 Apache(웹서버) 보안설정하기 입니다.

Server Tokens 설정

Server Tokens란 Apache(웹서버)의 설정파일인 httpd.conf 내
정보를 클라이언트에게 얼마나 보여줄 것인가를 정의한다.

시스템의 정보를 많이 얻을 수 있다는 것은, 많은 정보를 노출하고 있다는 이야기이다.
이러한 정보를 Server Tokens 설정을 통해 최소 설정 가능하다.

1. Prod : 웹서버의 이름만 알려준다. (Apache)
2. Major : 웹서버의 이름과 Major 버전번호만 알려준다. (Apache2)
3. Minor : 웹서버의 이름과 Minor 버전까지 알려준다. (Apache2.4)
4. Min : 웹서버 이름과 Minimum 버전까지 알려준다. (Apache2.4.6)
5. OS : 웹서버의 이름과 버전, OS 정보를 알려준다. (Apache2.4.6 (Unix)) 
6. Full : 최대한의 정보를 모두 알려준다. (Apache2.4.6 (Unix) Resin/4.x.x)

Server Tokens의 기본값은 OS지만, 최소한의 정보만을 제공하기 위해서는 "Prod"로 변경 진행해야 한다.
확인 방법은 curl --head (IP) or http://(도메인)

Server Signature 설정

Server Signature란 Apache(웹서버의) 버전정보를 웹 브라우저에 노출 여부를 정의한다.

-serverSignature On // 웹 브라우저에 버전 정보를 노출
-serverSignature Off // 웹 브라우어저에 버전 정보를 노출하지 않음

위 설정은 웹 사이트 오류시 노출되는 기본 화면에서 적용된다.

마치며

ServerTokens Prod
ServerSignature Off

설정하는 것을 필히 권장한다.!!