WEB/WAS 시스템으로 Apache와 Tomcat 사용 중인 곳이 많을 것이다.
나도 마찬가지인데, 설정 구성에 따라 Header Response에 미들웨어 버전 정보가 표기되는 경우가 있다.
이런 경우, 해당 버전에 있는 보안 취약점을 악용하여 공격받기 쉽다는 위험성이 있다.
설정 파일 변경을 통해 방지할 수 있다.
[1] Apache
- 위치 : 설정 파일 내부의 httpd.conf 혹은 /extra/httpd-default.conf 파일
※ 구성마다 다를 수 있음
아래 설정대로 적용 후, Apache 재시작 필요
# Server Tokens 옵션
서버 HTTP Response Header를 반환 값을 정하는 옵션
기본값 : Full, 권장값 : Prod
| 옵션 | 제공 정보 | 노출 정보(예시) |
| Prod | 웹 서버 종류 | Server : Apache |
| Min | 웹 서버 종류 + 버전 | Server : Apache/2.4.46 |
| Major | 웹 서버 종류 + 버전 | Server : Apache/2 |
| Minor | 웹 서버 종류 + 버전 | Server : Apache/2.4 |
| OS | 웹 서버 종류 + 버전 + 운영체제 | Server : Apache/2.3.10 (Unix) |
| Full | 웹 서버의 모든 정보 | Server : Apache/2.3.10 (Unix) DAV/2 . . |
# Server Signature 옵션
서버 Apache의 버전 정보를 웹 브라우저에 노출시킬지 여부를 적용하는 옵션
권장값 : Off
아래와 같이 Apache 정보가 가려진다. 해결 !
[2] Tomcat
- 위치 : 설정 파일 내부의 server.xml 파일
아래 <Connector Port> 설정의 "Server" 부분을 원하는 문구로 기입 후, Tomcat 재시작 필요
# Connector port 옵션
요청 수신 후, 응답이 반환되는 끝점을 나타내는 옵션
붉은 박스 Server 부분과 같이 입력하면, Http 헤더 정보에서 서버 정보가 기입한 문구로 대체
ex) Server = "Test" 로 입력하면, Test 문구로 대체된다 !
나의 경우, Tomcat은 Web에 노출되지 않도록 이미 설정이 적용되어 있었다.
'Cloud > Middleware' 카테고리의 다른 글
| [MariaDB] 10.4 버전 이상 인증 방식 주의 사항, 인증 없이 접근하는 root 사용자 (0) | 2024.07.18 |
|---|---|
| [MariaDB] 오픈소스 MariaDB 10.6 설치 및 구성 - Community Server, Red Hat 9 (1) | 2024.07.17 |
| [MariaDB] MariaDB/Maxscale 버전 업그레이드 (0) | 2024.06.21 |
| [Redis] Redis 비밀번호 설정하기(Linux 환경) (4) | 2024.05.07 |
| [MariaDB] Too many open files 조치 방법 (4) | 2024.03.22 |
