使用Rails应用程序设置ServerSignature和ServerTokens apache配置选项是否必要？

Question

我碰到的东西在说我应该设置

ServerSignature Off 
ServerTokens Prod 

从显示服务器信息在生产时应用螺丝了禁用的Apache我轨的一本书来。这是必要的吗？我在prod中看到的唯一错误消息是标准的Rails生产错误消息。我从未看到任何服务器信息。

是否有任何其他安全相关的Apache配置变量，我需要设置？

Answer 1

这是没有必要的，但它是建议。通过显示服务器签名和完整的服务器令牌，您可以让潜在的黑客更容易地识别如何破解您的系统。例如，通过使用ServerSignature和完整的ServerToken，黑客将知道您正在运行的操作系统（包括版本）和服务器技术。

例子。随着ServerToken设置为完全可能会得到：

的Apache/2.2.8（Ubuntu的）PHP/5.2.4-2ubuntu5用了Suhosin，补丁服务器

将其设置为督促你只会得到

阿帕奇

This article on slicehost给出了如何处理serverSignature和serverTokens

一个很好的概述