有必要使用Rails应用程序设置ServerSignature和ServerTokens apache配置选项吗?
我在我的一本铁轨书中看到了我应该设置的东西
ServerSignature Off ServerTokens Prod 当应用程序搞砸时,禁止apache在生产中显示服务器信息。 这有必要吗? 我在prod中看到的唯一错误消息是标准的Rails生成错误消息。 我从未看到任何服务器信息。
我需要设置其他与安全相关的apache配置变量吗?
没有必要,但建议。 通过显示服务器签名和完整的服务器令牌,您可以为潜在的黑客提供一种更简单的方法来识别如何破解您的系统。 例如,启用ServerSignature和完整的ServerToken,黑客将确切知道您正在运行的操作系统(包括版本)和服务器技术。
例。 将ServerToken设置为full,您可能会得到:
带有Suhosin-Patch Server的Apache / 2.2.8(Ubuntu)PHP / 5.2.4-2ubuntu5
随着它被设置为prod你只会得到
阿帕奇
关于slicehost的这篇文章很好地概述了如何处理serverSignature和serverTokens