ApacheやPHPはデフォルトではバージョンの取得（=表示）が有効になっています。Apacheのバージョンが第三者に分かってしまうと、脆弱性が発見された時にドンピシャのバージョンであったりすると、攻撃の標的になり被害を被るリスクが高まりますので、非表示にしてしまいます。

Apache2.4セキュリティ「ApacheとPHPのバージョン表示を無効にする」

Apache や PHP はデフォルトではバージョンの取得（=表示）が有効になっています。 Apache のバージョンが第三者に分かってしまうと、脆弱性が発見された時にドンピシャのバージョンであったりすると、攻撃の標的になり被害を被るリスクが高まりますので、非表示にしてしまいます。
<h2 id="contents">Contents</h2>
<ol>
<li><a href="#apache-%E3%81%AE%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E8%A1%A8%E7%A4%BA%E3%82%92%E7%84%A1%E5%8A%B9%E3%81%AB%E3%81%99%E3%82%8B">Apache のバージョン表示を無効にする</a></li>
<li><a href="#php-%E3%81%AE%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E8%A1%A8%E7%A4%BA%E3%82%92%E7%84%A1%E5%8A%B9%E3%81%AB%E3%81%99%E3%82%8B">PHP のバージョン表示を無効にする</a></li>
</ol>
<h2 id="apache-のバージョン表示を無効にする">Apache のバージョン表示を無効にする</h2>
まずはバージョン表示の確認を行います。 curl コマンドで対象の URL を叩いてレスポンスを確認します。
<pre><code class="hljs language-shell"># curl コマンドで対照 URL のレスポンスを確認する
curl -v -X GET http://192.168.33.20/

# 実行結果
[demo@localhost ~]# curl -v -X GET http://192.168.33.20/

* About to connect() to 192.168.33.20 port 80 (#0)
* Trying 192.168.33.20...
* Connected to 192.168.33.20 (192.168.33.20) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.33.20
> Accept: */*
>
&#x3C; HTTP/1.1 200 OK
&#x3C; Date: Sat, 16 Dec 2017 09:28:28 GMT
&#x3C; Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips PHP/7.1.8
&#x3C; X-Powered-By: PHP/7.1.10
&#x3C; Last-Modified: Sat, 16 Dec 2017 07:52:18 GMT
&#x3C; ETag: "4f-5573ec209bc00"
&#x3C; Accept-Ranges: bytes
&#x3C; Content-Length: 79
&#x3C; X-FRAME-OPTIONS: SAMEORIGIN
&#x3C; Content-Type: text/html; charset=UTF-8
&#x3C;html>
&#x3C;head>
&#x3C;title>title&#x3C;/title>
&#x3C;/head>
&#x3C;body>
Hello World!
&#x3C;/body>
&#x3C;/html>
* Connection #0 to host 192.168.33.20 left intact
</code></pre>
残念ながら「&#x3C; Server: Apache/2.4.6 」ばっちり表示されてしまっています。
これを非表示にするには、conf ファイルに設定を記述します。
ファイル設置箇所/etc/httpd/conf ファイル名 httpd.confhttpd.conf を開いて、以下を記述します。
<pre><code class="hljs language-shell"># vim コマンドで httpd.conf を開く
vim /etc/httpd/conf/httpd.conf

# httpd.conf に以下を追記
# Apache version Hide
ServerTokens ProductOnly
ServerSignature off

</code></pre>
※もし「ServerTokens 」「ServerSignature 」の設定が既にあれば、そこを変更する形にします。
Apache を再起動する前に書式チェックを行います。
<pre><code class="hljs language-shell"># conf ファイルの書式チェックを行う
apachectl configtest

# 実行結果
[demo@localhost ~]# apachectl configtest
Syntax OK // ←これが出れば OK
</code></pre>
Apache を再起動します。
<pre><code class="hljs language-shell"># Apache の再起動
apachectl restart
</code></pre>
これで設定が完了したので、改めて、バージョン表示の確認を行います。 curl コマンドで対象の URL を叩いてレスポンスを確認します。
<pre><code class="hljs language-shell"># curl コマンドで対照 URL のレスポンスを確認する
curl -v -X GET http://192.168.33.20/

# 実行結果
[demo@localhost ~]# curl -v -X GET http://192.168.33.20/
* About to connect() to 192.168.33.20 port 80 (#0)
* Trying 192.168.33.20...
* Connected to 192.168.33.20 (192.168.33.20) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.33.20
> Accept: */*
> 
&#x3C; HTTP/1.1 200 OK
&#x3C; Date: Sat, 16 Dec 2017 09:33:49 GMT
&#x3C; Server: Apache
&#x3C; X-Powered-By: PHP/7.1.10
&#x3C; Last-Modified: Sat, 16 Dec 2017 07:52:18 GMT
&#x3C; ETag: "4f-5573ec209bc00"
&#x3C; Accept-Ranges: bytes
&#x3C; Content-Length: 79
&#x3C; X-FRAME-OPTIONS: SAMEORIGIN
&#x3C; Content-Type: text/html; charset=UTF-8
&#x3C; 
&#x3C;html>
&#x3C;head>
&#x3C;title>title&#x3C;/title>
&#x3C;/head>
&#x3C;body>
Hello World!
&#x3C;/body>
&#x3C;/html>
* Connection #0 to host 192.168.33.20 left intact
</code></pre>
「&#x3C; Server: Apache 」バージョン情報がしっかり非表示になっていますので、これで設定は完了です。
<h2 id="php-のバージョン表示を無効にする">PHP のバージョン表示を無効にする</h2>
<pre><code class="hljs language-shell"># curl コマンドで対照 URL のレスポンスを確認する
curl -v -X GET http://192.168.33.20/

# 実行結果
[demo@localhost ~]# curl -v -X GET http://192.168.33.20/
* About to connect() to 192.168.33.20 port 80 (#0)
* Trying 192.168.33.20...
* Connected to 192.168.33.20 (192.168.33.20) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.33.20
> Accept: */*
> 
&#x3C; HTTP/1.1 200 OK
&#x3C; Date: Sat, 16 Dec 2017 09:33:49 GMT
&#x3C; Server: Apache
&#x3C; X-Powered-By: PHP/7.1.10
&#x3C; Last-Modified: Sat, 16 Dec 2017 07:52:18 GMT
&#x3C; ETag: "4f-5573ec209bc00"
&#x3C; Accept-Ranges: bytes
&#x3C; Content-Length: 79
&#x3C; X-FRAME-OPTIONS: SAMEORIGIN
&#x3C; Content-Type: text/html; charset=UTF-8
&#x3C; 
&#x3C;html>
&#x3C;head>
&#x3C;title>title&#x3C;/title>
&#x3C;/head>
&#x3C;body>
Hello World!
&#x3C;/body>
&#x3C;/html>
* Connection #0 to host 192.168.33.20 left intact
</code></pre>
こちらもデフォルトでは有効になっているため、コマンドや、デベロッパーツールで確認すると「&#x3C; X-Powered-By: PHP/7.1.8 」のように、ばっちり表示されています。
使用している PHP のバージョンが容易に判明してしまうのは、その PHP のバージョンに脆弱性が発見された場合に攻撃対象になるリスクが高まる。という事と、そもそも表示させておく必要もない（マイナス面しかない）ので、非表示にしてしまいます。
ファイル設置箇所/etc/httpd/conf ファイル名 httpd.confhttpd.conf を開いて、以下を記述します。
<pre><code class="hljs language-shell"># vim コマンドで httpd.conf を開く
vim /etc/httpd/conf/httpd.conf

# httpd.conf に以下を追記
# PHP version Hide
Header unset X-Powered-By
</code></pre>
Apache を再起動する前に conf ファイルの書式チェック！
<pre><code class="hljs language-shell"># conf ファイルの書式チェックを行う
apachectl configtest

# 実行結果
[demo@localhost ~]# apachectl configtest
Syntax OK // ←これが出れば OK
</code></pre>
Apache を再起動します。
<pre><code class="hljs language-shell"># Apache の再起動
apachectl restart
</code></pre>
これで、改めて curl コマンドを叩いて確認してみます。
<pre><code class="hljs language-shell"># curl コマンドで対照 URL のレスポンスを確認する
curl -v -X GET http://192.168.33.20/

# 実行結果
[demo@localhost ~]# curl -v -X GET http://192.168.33.20/

* About to connect() to 192.168.33.20 port 80 (#0)
* Trying 192.168.33.20...
* Connected to 192.168.33.20 (192.168.33.20) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.33.20
> Accept: */*
>
&#x3C; HTTP/1.1 200 OK
&#x3C; Date: Sat, 16 Dec 2017 04:05:36 GMT
&#x3C; Server: Apache
&#x3C; Last-Modified: Sat, 16 Dec 2017 01:14:55 GMT
&#x3C; ETag: "b1-5574d52bc1b18"
&#x3C; Accept-Ranges: bytes
&#x3C; Content-Length: 177
&#x3C; X-FRAME-OPTIONS: DENY
&#x3C; Content-Type: text/html; charset=UTF-8
&#x3C;

&#x3C;html lang="ja">
&#x3C;head
&#x3C;meta charset="UTF-8">
&#x3C;title>title&#x3C;/title>
&#x3C;/head>
&#x3C;body>
&#x3C;h1>Hello World!&#x3C;/h1>
&#x3C;p>こちらは検証１号機です&#x3C;/p>
&#x3C;/body>
&#x3C;/html>
* Connection #0 to host 192.168.33.20 left intact
</code></pre>
これで「&#x3C; X-Powered-By: PHP/7.1.8 」の表示が消えました。設定完了です。

Author