HTTP レスポンスヘッダの Apache バージョンを非表示にする

諸般の事情で、HTTP レスポンスの Server ヘッダなどの情報を最小限にしなければならなくなったので方法をメモ。

- HTTP レスポンスヘッダの Server ヘッダの情報を最小限にする

httpd.conf の ServerTokens を ProductOnly にすることで、HTTP レスポンスヘッダに含まれるのは Server: Apache だけになる。

ServerTokens ProductOnly

Apache Core Features Apache コア機能
http://httpd.apache.org/docs/1.3/mod/core.html

ServerTokens ディレクティブ

構文: ServerTokens Minimal|ProductOnly|OS|Full
デフォルト: ServerTokens Full
コンテキスト: サーバ設定ファイル
ステータス: core
互換性: ServerTokens は Apache 1.3 以降で利用可能です。 また、ProductOnly キーワードは Apache 1.3.12 以降で利用可能です。

このディレクティブは、クライアントに送り返す Server レスポンスヘッダ内に、サーバの一般的な OS 種別や、コンパイルされて組み込まれているモジュールの情報を 含めるかどうかを指定します。

ServerTokens Prod[uctOnly]
サーバは (例えば): Server: Apache といったように送ります。
ServerTokens Min[imal]
サーバは (例えば): Server: Apache/1.3.0 といったように送ります。
ServerTokens OS
サーバは (例えば): Server: Apache/1.3.0 (Unix) といったように送ります。
ServerTokens Full (もしくは未指定)
サーバは (例えば): Server: Apache/1.3.0 (Unix) PHP/3.0 MyMod/1.2 といったように送ります。
この設定はサーバ全体に適用され、 バーチャルホスト上で有効にしたり無効にしたりはできません。

- ServerSignature を Off にして Apache が生成したドキュメント中の情報も抑制

ServerSignature もあわせて Off に設定し、DirectoryIndex などに情報が出ないようにした。私の使っているマシンでは E-Mail がデフォルトで設定されていた。.htaccess などでも設定可能とのことだが、サーバ全体で表示をオフにしたいのでやはり httpd.conf で設定。

ServerSignature Off

ServerSignature ディレクティブ

構文: ServerSignature On|Off|EMail
デフォルト: ServerSignature Off
コンテキスト: サーバ設定ファイル、バーチャルホスト、ディレクトリ、.htaccess
ステータス: core
互換性: ServerSignature は Apache 1.3 以降で利用可能です。

ServerSignature ディレクティブは、サーバが生成するドキュメント (エラーメッセージ、mod_proxy における FTP のディレクトリリスト、 mod_info の出力、等々) の最下行に付与するフッタの設定を行ないます。 そのような、フッタ行を有効にしたい理由としては、 プロキシが複数連なっている場合に、ユーザはどのサーバが返した エラーメッセージかを知る手段がほとんど無いからです。
デフォルトである Off に設定をすると、エラーの際の行が抑制されます。 (そして、Apache-1.2 以前と互換の動作をします) On に設定した場合は、単にドキュメントの中に、 サーバのバージョン、稼動中のバーチャルホストの ServerName の書かれた行を追加し、 EMail にした場合はさらに参照されたドキュメントに対する ServerAdmin を指す "mailto:" が追加されます。

2つとも基本的なことだけど、こういう事こそメモしておくと役に立つことが多い。