security setting

last update 2025/12/11

Apaceでできるセキュリティ対策をまとめてみた。

http.conf

バージョン情報を隠蔽する

HTTPレスポンスヘッダのServerフィールドを簡略化しバージョン情報等を非表示にする。

ServerTokens Prod

HTTP_PROXY環境変数の上書きを禁止する

リモートから Proxy ヘッダを含むリクエストを受信した場合に、サーバの環境変数 HTTP_PROXY に意図しない値が設定され、脆弱性を悪用された場合、中間者攻撃が行われたり、不正なホストに接続させられたりするなどの可能性がある(CVE-2016-5385)ため、HTTP_PROXY環境変数の上書きを禁止する。

RequestHeader unset Proxy