ちょっと気になって、このGeekWindのHTTPヘッダを見てみたら、ちゃっかりPHPのバージョンとlighttpdのバージョンがヘッダに埋まっていた。
そのバージョンで脆弱性が見つかって、攻撃などされるとセキュリティ的にも嫌なので、HTTPヘッダに埋まっているバージョンを隠蔽することにした。
対策そのものはやたらと簡単。
PHPのバージョンはphp.ini内でexpose_php = Offに設定すればよい。
lighttpdのバージョンは、lighttpd.conf 内の server.tag を設定する。
今回は server.tag = “GeekWind Server” のように設定。
これで以下のようなヘッダになった。
HTTP/1.1 200 OK Expires: Wed, 11 Jan 1984 05:00:00 GMT Last-Modified: Sun, 19 Dec 2010 02:44:51 GMT Cache-Control: no-cache, must-revalidate, max-age=0 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Transfer-Encoding: chunked Date: Sun, 19 Dec 2010 02:44:51 GMT Server: GeekWind Server
Leave your Comment