วิธีซ่อนเวอร์ชัน Apache และ Linux (Ubuntu/Debian) OS จากส่วนหัว HTTP Headers

How to Hide Your Apache Version and Linux (Ubuntu/Debian) OS From HTTP Headers

ด้วย (ร่าง) มาตรฐานเว็บไซต์มหาวิทยาลัยสงขลานครินทร์ พ.ศ. 2567 และแนวปฏิบัติการรักษาความมั่นคงปลอดภัยเว็บไซต์ (Website Security Guideline) สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)

สำหรับการใช้งาน HTTP Response headers*1 ถูกใช้เพื่อส่งต่อนโยบายความปลอดภัยไปยังเบราเซอร์  ทำให้การเปิดเว็บไซต์ของเรามีความปลอดภัยเพิ่มมากขึ้น

ซึ่งการกำหนดให้ Server Type ไม่แสดงข้อมูล เกี่ยวกับระบบปฏิบัติการและรุ่นของโปรแกรมเว็บไซต์ ที่ส่งผ่าน HTTP Response headers ที่ใช้งานผ่าน Apache2 เวอร์ที่สูงกว่า 2.4.8 มีวิธีซ่อนเวอร์ชัน Apache และ Linux (Ubuntu/Debian) OS จากส่วนหัว HTTP Headers ดังนี้

ขั้นตอนที่ 1 เข้าใช้งานผ่าน SSH เปลี่ยนระดับผู้ใช้งานเป็น root ที่สามารถแก้ไขข้อมูลระบบได้

ขั้นตอนที่ 2 แก้ไขการตั้งค่า Apache server configuration โดยใช้โปรแกรม Nano (โปรแกรมแก้ไขข้อความที่คุณต้องการ)

Debian/Ubuntu:

nano /etc/apache2/conf-enabled/security.conf

ขั้นตอนที่ 3 เลื่อนหาส่วนการตั้งค่า “ServerTokens”

  • เดิมจะเป็นค่า “ServerTokens OS” ซึ่งแสดงข้อมูลระบบปฏิบัติการของระบบไปกับ HTTP Response headers
  • ให้เปลี่ยนแปลงค่าเป็น “ServerTokens Prod” โดยระบบจะซ่อน Apache version และ OS จาก HTTP headers

ขั้นตอนที่ 4 เลื่อนหาส่วนการตั้งค่า “ServerSignature”

  • แก้ไขเป็น ServerSignature Off การปิดตัวเลือกนี้จะซ่อนข้อมูลจากเพจที่เซิร์ฟเวอร์สร้างขึ้น

ขั้นตอนที่ 5 บันทึกและออกจากไฟล์

Nano : Crt+O เพื่อทำการบันทึก และ Crt+X เพื่อออกจากการแก้ไข

ขั้นตอนที่ 6 Restart Apache2

Debian/Ubuntu: /ete/ini.d/apache2 restart

  1. *อ้างอิง: Hardening your HTTP response headers – CoP PSU IT Blog ↩︎
Share the Post:

Related Posts

[บันทึกกันลืม] JupyterHub Authenticated with OIDC

Post Views: 30 ต่อจากตอนที่แล้ว [บันทึกกันลืม] JupyterHub ด้วย Docker คราวนี้ ถ้าต้องการให้ ยืนยันตัวตนด้วย OpenID เช่น PSU Passport เป็นต้น ก็ให้ทำดังนี้ ในไฟล์ jupyterhub_config.py ใส่

Read More