ServerTokens로 서버 정보 노출 줄이기
Apache HTTP Server는 응답 헤더의 Server 값에 얼마나 많은 정보를 노출할지 ServerTokens 지시어로 조절할 수 있다. 공식 문서의 설명에 따르면 이 값에 따라 제품명, 버전, 운영체제 정보, 컴파일된 모듈 정보 등의 노출 범위가 달라진다.
보안 관점에서는 일반적으로 노출 범위를 최소화하는 설정을 사용한다. 예를 들어 다음처럼 설정하면 상세 버전이나 OS 정보 대신 최소한의 제품 정보만 응답하도록 제한할 수 있다.
ServerTokens Prod
설정 후에는 Apache HTTP Server를 reload 또는 restart한 뒤, 다음과 같이 응답 헤더를 확인해 적용 여부를 점검할 수 있다.
curl -I https://example.com
다만 ServerTokens Prod를 사용하더라도 외부에 이 제품이 Apache HTTP Server라는 사실이 드러나는 것은 피할 수 없다. 즉, 이 설정은 상세 버전과 환경 정보 노출을 줄이는 데 목적이 있으며, 제품명 자체를 완전히 숨기는 기능은 아니다.