Sådan skjules Apache-versionsnummer og anden følsom information
Når der sendes eksterne anmodninger til din Apache-webserver, sendes nogle værdifulde oplysninger som webserverversionsnummer, serveroperativsystemoplysninger, installerede Apache-moduler plus mere sammen i servergenererede dokumenter tilbage til klienten.
Dette er en hel del information for angribere til at udnytte sårbarheder og få adgang til din webserver. For at undgå at vise Web-sever-oplysninger viser vi i denne artikel, hvordan du skjuler oplysningerne om Apache Web Server ved hjælp af bestemte Apache-direktiver.
De to vigtige direktiver er:
Hvilket tillader tilføjelse af en sidefodslinje, der viser servernavn og versionsnummer under servergenererede dokumenter såsom fejlmeddelelser, mod_proxy ftp-katalogoversigter, mod_info-output plus mange flere.
Det har tre mulige værdier:
- Til - som tillader tilføjelse af en efterfølgende sidefodslinje i servergenererede dokumenter,
- Fra - deaktiverer sidefodslinjen og
- E-mail - opretter en "mailto:" -reference; som sender en e-mail til serveradministratoren for det refererede dokument.
Det bestemmer, om det serverresponsoverskriftsfelt, der sendes tilbage til klienter, indeholder en beskrivelse af serverens OS-type og info vedrørende aktiverede Apache-moduler.
Dette direktiv har følgende mulige værdier (plus prøveinfo sendt til klienter, når den specifikke værdi er indstillet):
ServerTokens Full (or not specified) Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 ServerTokens Prod[uctOnly] Info sent to clients: Server: Apache ServerTokens Major Info sent to clients: Server: Apache/2 ServerTokens Minor Info sent to clients: Server: Apache/2.4 ServerTokens Min[imal] Info sent to clients: Server: Apache/2.4.2 ServerTokens OS Info sent to clients: Server: Apache/2.4.2 (Unix)
Bemærk: Efter Apache version 2.0.44 styrer ServerTokens-direktivet også den information, der tilbydes af ServerSignature-direktivet.
For at skjule webserverversionsnummer, serveroperativsystemoplysninger, installerede Apache-moduler og mere skal du åbne din Apache-webserverkonfigurationsfil ved hjælp af din foretrukne editor:
$ sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems $ sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
Og tilføj/rediger/tilføj nedenstående linjer:
ServerTokens Prod ServerSignature Off
Gem filen, afslut og genstart din Apache-webserver sådan:
$ sudo systemctl restart apache2 #SystemD $ sudo service apache2 restart #SysVInit
I denne artikel forklarede vi, hvordan du skjuler Apache-webserverens versionsnummer plus meget mere information om din webserver ved hjælp af visse Apache-direktiver.
Hvis du kører PHP på din Apache-webserver, foreslår jeg, at du skjuler PHP-versionsnummer.
Som sædvanligt kan du tilføje dine tanker til denne vejledning via kommentarsektionen nedenfor.