问更改Apache httpd "Server:“HTTP报头

EN

服务器ID/令牌头由"ServerTokens“指令(由mod_core提供)控制。除了修改Apache源代码或使用mod_security模块之外，没有其他方法可以完全取消服务器ID头。

使用mod_security方法，您可以禁用modsecurity.conf文件中所有模块的指令/函数，并且只利用服务器头ID指令，而不需要任何额外的“行李”。

mod_security很棒，但是你并不需要它来实现你的目标。

在httpd.conf中包含了所有mods之后，您可以简单地取消设置您选择的标题。正如注释中所述，需要启用mod_headers。

Header unset Server

# if the above doesn't work, set a default value
# use the keyword 'always' to set the header even with error'ed responses
# (e.g. if your app is down)
Header always set Server "No peeking!"

ServerSignature Off
ServerTokens Prod

http://httpd.apache.org/docs/2.4/mod/core.html#serversignature

只是为那些还在寻找的人更新这个。我在更改HTTP报头中的Server行时遇到了问题。这个建议应该适用于带有systemd和Apache2.4.7的Debian分支发行版。具体来说，我使用的是Ubuntu 14.04.03。我发现的一些建议是

grep -Ri servertokens /etc/apache2

这导致我找到/etc/apache2/conf-available/security.conf，其中指定了ServerTokens和ServerSignature。因此，我对/etc/apache2/apache2.conf所做的任何更改都会被security.conf中已经指定的指令覆盖。

我只是更改了security.conf中的指令，Apache开始按我的意愿工作。

ServerTokens Prod
ServerSignature Off

在Header unset Server的主题上，我发现了一个bug报告，其中Apache说这是一个不会修复的问题。显然，对于他们来说，这是一个哲学问题，尽管HTTP/1.1规范，RFC 2616部分是由Tim编写的，他说服务器标签是可选的。

我真的想将Server标记设置为“未知”，以使我们的Qualys扫描愉快。因此，我按照本数字海洋教程安装了mod_security，现在称为libasache2-modsecurity。祝你们好运，希望我能帮助你们未来的读者。