Nécessaire de définir les options de configuration apache ServerSignature et ServerTokens avec les applications Rails?

Question

je suis tombé sur quelque chose dans un de mes livres rails qui dit que je devrais mettre

ServerSignature Off 
ServerTokens Prod 

pour désactiver apache de montrer les informations du serveur dans la production lorsque les vis d'applications vers le haut. Est-ce nécessaire? Le seul message d'erreur que je vois dans prod est le message d'erreur de production standard de Rails. Je ne vois jamais d'informations sur le serveur.

Y a-t-il d'autres variables de configuration apache liées à la sécurité que je dois définir?

Answer 1

Ce n'est pas nécessaire, mais il est recommandé. En affichant la signature du serveur et les jetons de serveur complets, vous donnez aux hackers potentiels un moyen plus simple d'identifier comment pirater votre système. Par exemple, avec ServerSignature sur et un ServerToken complet, un pirate saura exactement quel système d'exploitation (y compris la version) et la technologie de serveur que vous utilisez.

Exemple. Avec ServerToken réglé à plein que vous pourriez obtenir:

Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5 avec Suhosin-Patch serveur

Avec elle, réglé pour vous prod n'obtiendrez

Apache

This article on slicehost donne un bon aperçu de la façon d'aborder ServerSignature et ServerTokens