Sådan skjules Apache-versionsnummer og anden følsom information

Når der sendes eksterne anmodninger til din Apache-webserver, sendes nogle værdifulde oplysninger som webserverversionsnummer, serveroperativsystemoplysninger, installerede Apache-moduler plus mere sammen i servergenererede dokumenter tilbage til klienten.

Dette er en hel del information for angribere til at udnytte sårbarheder og få adgang til din webserver. For at undgå at vise Web-sever-oplysninger viser vi i denne artikel, hvordan du skjuler oplysningerne om Apache Web Server ved hjælp af bestemte Apache-direktiver.

De to vigtige direktiver er:

Hvilket tillader tilføjelse af en sidefodslinje, der viser servernavn og versionsnummer under servergenererede dokumenter såsom fejlmeddelelser, mod_proxy ftp-katalogoversigter, mod_info-output plus mange flere.

Det har tre mulige værdier:

  1. Til - som tillader tilføjelse af en efterfølgende sidefodslinje i servergenererede dokumenter,
  2. Fra - deaktiverer sidefodslinjen og
  3. E-mail - opretter en "mailto:" -reference; som sender en e-mail til serveradministratoren for det refererede dokument.

Det bestemmer, om det serverresponsoverskriftsfelt, der sendes tilbage til klienter, indeholder en beskrivelse af serverens OS-type og info vedrørende aktiverede Apache-moduler.

Dette direktiv har følgende mulige værdier (plus prøveinfo sendt til klienter, når den specifikke værdi er indstillet):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix)

Bemærk: Efter Apache version 2.0.44 styrer ServerTokens-direktivet også den information, der tilbydes af ServerSignature-direktivet.

For at skjule webserverversionsnummer, serveroperativsystemoplysninger, installerede Apache-moduler og mere skal du åbne din Apache-webserverkonfigurationsfil ved hjælp af din foretrukne editor:

$ sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
$ sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems

Og tilføj/rediger/tilføj nedenstående linjer:

ServerTokens Prod
ServerSignature Off

Gem filen, afslut og genstart din Apache-webserver sådan:

$ sudo systemctl restart apache2  #SystemD
$ sudo service apache2 restart     #SysVInit

I denne artikel forklarede vi, hvordan du skjuler Apache-webserverens versionsnummer plus meget mere information om din webserver ved hjælp af visse Apache-direktiver.

Hvis du kører PHP på din Apache-webserver, foreslår jeg, at du skjuler PHP-versionsnummer.

Som sædvanligt kan du tilføje dine tanker til denne vejledning via kommentarsektionen nedenfor.