LAMP環境構築
最終更新:ID:20utZfncRw 2011年04月28日(木) 16:34:32履歴
セキュリティ対策 
HTTPヘッダにPHPのバージョンを表示させない
PHPファイルに対してリクエストすると、HTTPヘッダにX-Powered-Byという情報が入っています。~
X-Powered-Byヘッダには、PHPのバージョンが次のような形で含まれています。
このヘッダを隠すには、PHPの設定ファイル(php.ini)に、次の設定を追加します。
X-Powered-Byヘッダには、PHPのバージョンが次のような形で含まれています。
X-Powered-By: PHP/4.3.11
このヘッダを隠すには、PHPの設定ファイル(php.ini)に、次の設定を追加します。
expose_php = Off
HTTPヘッダにApacheのバージョンを表示させない
ウェブサーバ(Apache)で、404などのエラーページを表示したとき、ヘッダやページの下にApacheやOSのバージョンが表示されます。~
こういったサーバ情報をわざわざ表示する必要はありません。サーバ情報の表示しないようにするには、Apacheの設定ファイル(httpd.conf)に、次の設定を追加します。
この設定を追加後、Apacheを再起動するとServerヘッダにはApache、エラーページにもサーバの情報は表示されなくなります。
また、ServerTokensは以下のようにも設定できます。
こういったサーバ情報をわざわざ表示する必要はありません。サーバ情報の表示しないようにするには、Apacheの設定ファイル(httpd.conf)に、次の設定を追加します。
ServerTokens ProductOnly ServerSignature Off
この設定を追加後、Apacheを再起動するとServerヘッダにはApache、エラーページにもサーバの情報は表示されなくなります。
また、ServerTokensは以下のようにも設定できます。
ServerTokens Prod[uctOnly] サーバは (例えば): Server: Apache といったように送ります。 ServerTokens Min[imal] サーバは (例えば): Server: Apache/1.3.0 といったように送ります。 ServerTokens OS サーバは (例えば): Server: Apache/1.3.0 (Unix) といったように送ります。 ServerTokens Full (もしくは未指定) サーバは (例えば): Server: Apache/1.3.0 (Unix) PHP/3.0 MyMod/1.2 といったように送ります。 この設定はサーバ全体に適用され、 バーチャルホスト上で有効にしたり無効にしたりはできません。
.で始めるディレクトリは公開しないようにする
.svnや.で始まるディレクトリを公開しないようにするようには、Apacheの設定ファイル(httpd.conf)に、次の設定を追加します。
<Directory ~ "/\..+/">
Order Deny,Allow
Deny from All
</Directory>
コメントをかく