私は以前のバージョンのDebianから継続的にアップグレードされたJessieまたはStretchを含むWeb Apacheサーバーを持っています(サーバーによってはSqueezeで始まります)。
これにはApachesecurity.conf設定ディレクティブServerTokens Prodがあり、ServerSignature offこの質問に従ってwww.netcraft.comのホスティング履歴オペレーティングシステム不明。
security.confまた、すべてのディレクトリに存在することを確認しました。conf-enabled
今楽しい部分があります。一部はその構成を尊重しません。私が設定できる唯一のパターンは、最初からApacheで構成された最近インストールされたサーバーがこれらの動作を示していないことです(たとえば、常に設定に従います)。
何が起こりますか?
答え1
興味深いことに、この設定とは異なる設定を使用するには、デフォルトで次の行を使用して将来のバージョンのApacheに/etc/apache2/conf-enabledディレクトリを含める必要があります。/etc/apache2/apache2.conf
IncludeOptional conf-enabled/*.conf
apache2.conf他のサーバーでは、アップグレード時に以前の構成ファイルが保持されていました。いいえ このディレクティブを追加してください。より混乱しているのは、少なくとも1つのサーバーでこれを見つけて修正したため、パターンが確立されたプロセスを歪めることです。
したがって、これらのセキュリティディレクティブは設定されているように見えますが、Apacheはそれを使用しません。 Apacheは、ServerTokensおよびのデフォルト値がServerSignature前者の場合、Full後者の場合であると仮定しますOn。
最後に最後に追加しました。/etc/apache2/apache2.conf
IncludeOptional conf-enabled/*.conf
Apacheサービスの再起動後に状況が修正され、Apacheは追加の構成データを報告しなくなりました。