如何在 AWS 负载均衡器响应中禁用 Apache HTTP 标头信息？

我在 Apache 服务器上使用 AWS Elastic Beanstalk 部署了一个 node.js 环境。我对环境运行了 PCI 扫描，但出现了 2 次失败：

• Apache ServerTokens 信息披露
• Web服务器HTTP头信息泄露

当然，我认为我需要使用以下内容更新 httpd.conf 文件：

ServerSignature Off
ServerTokens Prod

但是，考虑到 Elastic Beanstalk 和 Elastic Load Balancer 的性质，一旦环境扩展、添加新服务器、重新启动等，实例配置就会被覆盖。

我还尝试将以下内容放入 .htaccess 文件中：

RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} =http
RewriteRule .* https://%{HTTP:Host}%{REQUEST_URI} [L,R=permanent]

# Security hardening for PCI
Options -Indexes
ServerSignature Off

# Dissallow iFrame usage outside of loylap.com for PCI Security Scan
Header set X-Frame-Options SAMEORIGIN

在 Node js 方面，我使用“helmet”包来应用一些安全措施，我还使用“express-force-https”包来确保应用程序强制执行 https。然而，这些似乎仅在 Express 应用程序启动后和重定向后才生效。

我为 HTTP（端口 80）和 HTTPS（端口 443）设置了 Elastic Load Balancer 侦听器，但是 HTTP 请求会立即路由到 HTTPS。

当我运行以下curl命令时：

curl -I https://myenvironment.com --head

我得到了以下行的可接受的响应：

Server: Apache

但是，当我在 http 端点上运行相同的请求时（即在重定向之前等）：

curl -I http://myenvironment.com --head

我收到的响应披露了更多关于我的服务器的信息，因此导致 PCI 故障：

Server: Apache/2.4.34 (Amazon)

如何强制我的环境限制 HTTP 和 HTTPS 上的 http 标头响应？

感谢 @stdunbar 引导我使用 ebextensions 找到了正确的解决方案。

该解决方案对我有用如下：

1. 在项目根目录中创建一个名为.ebextensions/01_server_hardening.config
2. 将以下内容添加到文件中：

files:
  "/etc/httpd/conf.d/03_server_hardening.conf":
    mode: "000644"
    owner: root
    group: root
    content: |
      ServerSignature Off
      ServerTokens Prod

container_commands:
  01_reload_httpd:
    command: "sudo service httpd reload"

（注意：缩进在此 YAML 文件中很重要 - 上面代码中的 2 个空格而不是制表符）。

在弹性beanstalk部署期间，这将在/etc/httpd/conf.d文件夹中创建一个新的conf文件，该文件默认设置为扩展ELB中的httpd.conf设置。

内容手动关闭ServerSignature并将ServerTokens设置为Prod，实现PCI标准。

运行容器命令会强制 httpd 重新启动（对于此特定版本的 Amazon linux - ubuntu 和其他版本将需要自己的标准reload).

将新命令部署到我的 EB 环境后，我的curl 命令在 HTTP 和 HTTPS 上按预期运行。