Мой сервер отвечает Server: Apache/2.2.15 (CentOS) на все запросы. Я предполагаю, что это выдает мою серверную архитектуру, облегчая попытки взлома.
Это когда-нибудь было полезно для веб-браузера? Я должен оставить его?
Вы можете изменить заголовок сервера, если хотите, но не рассчитывайте на это для безопасности. Этого можно добиться только в актуальном состоянии, поскольку злоумышленник может просто проигнорировать заголовок вашего сервера и попробовать все известные эксплойты с самого начала.
RFC 2616, в частности, гласит:
Разработчикам серверов рекомендуется сделать это поле настраиваемой опцией.
И Apache сделал, с ServerTokens директива. Вы можете использовать это, если хотите, но, опять же, не думайте, что это волшебным образом защитит вас от нападения.
На мой взгляд, лучше всего это максимально замаскировать. Это один из инструментов, который вы используете для взлома веб-сайта - откройте для себя его технологию, используйте известные недостатки этой технологии. По той же причине, по которой передовая практика безопасности некоторое время назад начала продвигать URL-адреса в форме "/ view / page" вместо "/view/page.jsp" или "/view/page.asp" ... так что лежащая в основе технология не будет разоблачен.
По этому поводу ведутся дискуссии, например https://stackoverflow.com/questions/843917/why-does-the-server-http-header-exist и http://www.troyhunt.com/2012/02/shhh-dont-let-your-response-headers.html и, очевидно, взломанная книга.
Также это на Security SE https://security.stackexchange.com/questions/23256/what-is-the-http-server-response-header-field-used-for
Но имейте в виду, что это еще не конец защиты ваших серверов. Еще один шаг в правильном направлении. Это не препятствует выполнению любого взлома. Это просто делает менее заметным, какой взлом следует выполнить.
Отображение полной строки с информацией о версии может подвергнуть вас повышенному риску атак 0day, если злоумышленник вел список того, на каких серверах и какое программное обеспечение установлено.
При этом не следует ожидать, что сокрытие строки сервера защитит вас от попыток взлома. Есть способы отследить сервер в зависимости от того, как сообщаются ответы и сообщения об ошибках.
Я отключаю свои строки, насколько могу, но я не беспокоюсь о тех, которые не могу скрыть (например, OpenSSH).