被指摘了

一年多以前一个做的项目最近接受了SECOM的安全性检查，虽然总体结果还是比较好，但是仍然被查出（指摘）出3个安全问题。其中一个的危险性是高，两个是低。项目的软件架构使这个样子的（客户要求全部使用freeware）

• Redhat Fedora Core 3
• Sun J2SDK 1.4.2_06
• Apache HTTP Server 2.0.54
• Apache Jakarta Tomcat 5.0.28
• Apache Struts 1.2.4
• OpenSSL 0.9.7.f
• PostgreSQL 8.0.6
  

高危险性的就是这个Apache HTTP Server，问题是版本太低，存在很多安全隐患。SECOM的评价资料和分析说明长的一塌糊涂，最后也给出了对应方法（这点还是比较好哈）。简单的说，把Apache升一把级就可以了。另外了，SECOM还给出一个建议，就是隐藏掉Apache的版本信息（某种程度上可以避免一些攻击哈）。这里呢就把隐藏的方法记下来，以备将来之用。
●隐藏Apache版本信息

• 对象文件httpd.conf
• 将原有 ServerSignature On 改为 ServerSignature Off
• 并且增加 ServerTokens ProductOnly 语句

●另外，HTTP TRACE的默认设置是有效的，改成无效比较好

• 对象文件httpd.conf
• 将原有 TraceEnable On 改为 TraceEnable Off