apache2 セキュリティ設定

バージョンを表示しない

# vi /etc/apache/httpd.conf
[追加] ServerTokens ProductOnly

・不要なメソッドを使用不可にする

# vi /etc/apache/httpd.conf

<Directory />
  Options None
  AllowOverride None
  <Limit GET HEAD POST>
    Order allow,deny
    Allow from all
  </Limit>
  <Limit OPTIONS PROPFIND PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
    Order deny,allow
    Deny from all
  </Limit>
</Directory>

一般的なWEBサーバ運用では、GET、POST、HEADメソッドで十分。
デフォルトの設定ではOPTIONSメソッドが使用できてしまう。
PUTやDELETEメソッドではアクセス制限で書き込めないが、
不要なメソッドは使用できない方が良いので無効にしておく。