Необходимо установить параметры конфигурации apache ServerSignature и ServerTokens с приложениями Rails?

Question

Я наткнулся на что-то в одной из моих книг по рельсам, в которых говорилось, что я должен установить

ServerSignature Off
ServerTokens Prod 

для отключения apache от отображения информации о сервере в рабочем состоянии, когда приложение испортилось. Это необходимо? Единственное сообщение об ошибке, которое я вижу в prod, - это стандартное сообщение об ошибке в Rails. Я никогда не вижу информации о сервере.

Существуют ли другие переменные конфигурации, связанные с безопасностью apache, которые мне нужно установить?

Answer 1

Не обязательно, но рекомендуется. Показывая сигнатуру сервера и полные токены сервера, вы даете потенциальным хакерам более простой способ определить, как взломать вашу систему. Например, при включенной ServerSignature и полном ServerToken хакер будет точно знать, какую ОС (включая версию) и технологию сервера вы используете.

Пример. Если ServerToken установлен на full, вы можете получить:

Apache / 2.2.8 (Ubuntu) PHP / 5.2.4-2ubuntu5 с сервером Suhosin-Patch

Если установить Prod, вы получите только

Apache

Эта статья на slicehost дает хороший обзор того, как подходить к serverSignature и serverTokens