如何删除 HTTP 服务器“Apache”？

Question

出于安全原因，我需要删除（是的！，我真的需要删除、删除或隐藏）Apache 签名。

我使用 ServerSignature n' ServerTokens 指令，但只隐藏版本...

ServerSignature Off
ServerTokens Prod

结果是：

Name                :Value
Date                :Mon, 15 Jun 2015 11:47:28 GMT
Content-Encoding    :gzip
Last-Modified       :Sun, 14 Jun 2015 00:01:37 GMT
Server              :Apache
ETag                :"6176c-28f4-5186f0b8c3bb0"
Vary                :Accept-Encoding,User-Agent
Content-Type        :text/xml; charset=utf-8
Cache-Control       :max-age=1
Accept-Ranges       :bytes
Content-Length      :1531
Expires             :Mon, 15 Jun 2015 11:47:29 GMT

看看这个

Server              Apache

我需要（没有 http 标头“Server:Apache”）：

Name                Value
Date                Mon, 15 Jun 2015 11:47:28 GMT
Content-Encoding    gzip
Last-Modified       Sun, 14 Jun 2015 00:01:37 GMT
ETag                "6176c-28f4-5186f0b8c3bb0"
Vary                Accept-Encoding,User-Agent
Content-Type        text/xml; charset=utf-8
Cache-Control       max-age=1
Accept-Ranges       bytes
Content-Length      1531
Expires             Mon, 15 Jun 2015 11:47:29 GMT

谢谢！

非常抱歉 Apache 团队，但这次无法显示您的 签名。

Answer 1

这应该是评论，但是有点长……

For security reason, i need remove...Apache signature - 即使从数据 other 而不是 Server 标头，也很明显这是一个 Apache 服务器（或者对服务器的印象非常非常 )。

根据security.stackexchange 上的讨论，我不认为从您的软件中删除横幅有任何安全优势。除了标题中的信息外，我还可以从默认错误消息、服务器如何处理内容协商、条件请求等中确定这一点……每次我查看相关问题时，列表都会变长。

我还没有看到任何证据表明禁用横幅对网站安全有任何影响（而不是允许审核员在清单中打勾）。但如果有人可以提供参考，我会很感兴趣。

Answer 2

核心发行版不允许删除它。在插件中做这件事很简单。 mod_security 允许您将其配置为剥离。