WSGI 응용 프로그램을 PythonPaste에서 실행하고 있습니다. 나는 기본 'Server'헤더가 상당량의 정보 ("Server : PasteWSGIServer/0.5 Python/2.6")를 유출 한 것으로 나타났습니다.난독 화 서버 헤더
나의 무릎 덩어리 반응은 그것을 바꾸는 것이지만 ... 다른 사람들이 생각하는 것이 궁금합니다.
서버 헤더에 유틸리티가 있습니까? 제거하는 것이 유리합니까? 내 인프라에 대한 정보를 제공하는 것에 대해 불편을 느끼지 않을까요?
감사
는음 "보안을 통해 축구화는"가장 좋은 방법은 결코; 장비는 설정에 대한 광범위한 지식을 가진 공격자 (암호, 콘솔 액세스 제외)에 대해 무결성을 유지할 수 있어야합니다. DDOS 같은 것을 막을 수는 없지만 OS 버전 등을 찾는 사람들에 대해 걱정할 필요는 없습니다.
아직도 무료로 정보를 제공 할 필요가 없습니다. 헤더를 푸는 것은 일부 공격자를 낙담시킬 수 있으며, 알려진 악용 사례가있는 응용 프로그램을 실행하는 이와 같은 경우에는 실행중인 것으로 광고하지 않는 것이 큰 이점입니다.
나는 그것을 바꾸라고 말한다. 내부적으로 혼자 남겨두면 많은 이점을 보지 않아야하며, 외부로 변경하면 혜택을 볼 수있는이 입니다.
내 로그 파일에있는 요청 (예 : Apache 로그의 IIS 관련 버그 요청과 IIS 서버 로그에 Apache 관련 요청이 표시 될 것임)을 감안할 때 많은 봇이 있습니다. 그런 헤더를 신경 쓰지 마라. 나는 거의 모든 것이 현재 무차별 한 힘이라고 생각한다.
(예를 들어, 실제로 IIS 뒤에 Tomcat이 꽤 많이 설치되어있는 예를 들어 보겠습니다. 일부 서버에 해킹하려고한다면 헤더도 고려하지 않을 것입니다. .)
그리고 무엇보다도 : 자유 소프트웨어를 사용할 때 나는 에게 약간의 신용을 부여하는 것이 적절하다고 느낍니다.in statistics.
버전 번호를 마스킹하는 것은 매우 중요한 보안 조치입니다. 공격자에게 실행중인 소프트웨어에 대한 정보를 제공하고 싶지는 않습니다. 이 보안 기능은에 mod_security에서 사용할 수 있습니다, 아파치의 오픈 소스 웹 애플리케이션 방화벽은 : http://www.modsecurity.org/
하여 mod_security와 구성 파일에 다음 행을 추가/:
SecServerSignature "IIS/6.0"
+1 아파치가 설정 ServerTokens 생산성 HTTP가 /httpd.apache.org/docs/1.3/mod/core.html#servertokens이 작업을 수행합니다. – dar
"장비가 무결성을 유지할 수 있어야합니다"- 대단히 정확합니다. 나는 단지 몇 년 전에 도전자를 만났습니다. MS/CS 후보자는 그의 논문에서 일했습니다. 다크 사이드 도전자,이 사람은 자녀의 인터넷 연결 상태에서 미끄러 져서 알바니아어 IP에서 나타나지 않는 한 인터넷에 갈 생각을하지 않습니다. 유머 감각이 좋을 때 그는 자동 보안 경보를위한 pw를 얻으라고했습니다. 내가 쉬운 대상인 것처럼 내가 미끄러 졌다는 것을 알았다면, 나는 그것을 모두 도입했다. 나중에 클렌 사이드 작업자는 감마 소음 방출기로 끝났다 고 말했다. 그 주차 된 차는 Obscurity (!!!)를 사용할 수 없습니다. –