Existe algum motivo para manter o cabeçalho de resposta "Servidor" no Apache?

Na minha opinião, é melhor mascarar isso o máximo possível. É uma das ferramentas que você usa para hackear um site - descubra sua tecnologia, use as falhas conhecidas dessa tecnologia. A mesma razão pela qual as práticas recomendadas de segurança voltaram a ser promovidas para ter URLs no formato "/ view / page" em vez de "/view/page.jsp" ou "/view/page.asp" ... então a tecnologia subjacente não seria exposto.

Existem algumas discussões sobre isso, como link e < href="http://www.troyhunt.com/2012/02/shhh-dont-let-your-response-headers.html"> link e, obviamente, o livro Hacking Exposed.

Além disso, no link do Security SE

Mas tenha em mente que isso não é um fim para proteger seus servidores. Apenas mais um passo na direção certa. Isso não impede que qualquer invasão seja executada. Isso apenas torna menos visível o que deve ser feito.

Você pode alterar o cabeçalho do Servidor, se quiser, mas não conte com isso por segurança. Somente manter-se atualizado fará isso, já que um invasor pode simplesmente ignorar o cabeçalho do servidor e tentar todas as explorações conhecidas desde o começo do tempo.

A RFC 2616 afirma, em parte:

Server implementors are encouraged to make this field a configurable option.

E o Apache fez isso com a diretiva ServerTokens . Você pode usar isso se quiser, mas, novamente, não pense que isso vai magicamente impedir que você seja atacado.

Exibir a sequência completa, com informações sobre a versão, pode deixar você com um risco maior de ataques de 0 dia se o invasor tiver mantido uma lista de quais servidores executam o software.

Dito isso, você não deve esperar que esconder uma string de servidor proteja você contra tentativas de invasão. Existem maneiras de tirar impressões digitais de um servidor com base na maneira como as respostas e os erros são relatados.

Desativar minhas strings, até onde eu posso, mas não suo as que não consigo esconder (por exemplo, OpenSSH).