Hvordan skjule Apache-versjonsnummer og annen sensitiv informasjon

Når eksterne forespørsler sendes til din Apache-webserver, sendes som standard noe verdifull informasjon som webserverens versjonsnummer, serveroperativsystemdetaljer, installerte Apache-moduler pluss mer i servergenererte dokumenter tilbake til klienten.

Les også: Slik skjuler du Nginx-serverversjonen i Linux

Dette er en god del informasjon for angripere for å utnytte sårbarheter og få tilgang til webserveren din. For å unngå å vise webserverinformasjon, vil vi i denne artikkelen vise hvordan du skjuler informasjonen til Apache Web Server ved å bruke bestemte Apache-direktiver.

Foreslått lesing: 13 nyttige tips for å sikre Apache-nettserveren din

De to viktige direktivene er:

Serversignatur

Som tillater å legge til en bunntekst som viser servernavn og versjonsnummer under servergenererte dokumenter som feilmeldinger, mod_proxy ftp-katalogoppføringer, mod_info-utgang pluss mange flere.

Den har tre mulige verdier:

1. På – som gjør det mulig å legge til en etterfølgende bunntekstlinje i servergenererte dokumenter,
2. Av – deaktiverer bunntekstlinjen og
3. E-post – oppretter en «mailto:»-referanse; som sender en e-post til ServerAdmin for det refererte dokumentet.

ServerTokens

Den avgjør om serversvarhodefeltet som sendes tilbake til klienter inneholder en beskrivelse av serverens OS-type og informasjon om aktiverte Apache-moduler.

Dette direktivet har følgende mulige verdier (pluss eksempelinformasjon sendt til klienter når den spesifikke verdien er angitt):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix) 

Merk: Etter Apache-versjon 2.0.44 kontrollerer ServerTokens-direktivet også informasjonen som tilbys av >ServerSignature-direktivet.

Foreslått lesing: 5 tips for å øke ytelsen til Apache Web Server

For å skjule webserverens versjonsnummer, serveroperativsystemdetaljer, installerte Apache-moduler og mer, åpne Apache-nettserverens konfigurasjonsfil ved å bruke din favorittredigerer:

sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems 

Og legg til/endre/legg til linjene nedenfor:

ServerTokens Prod
ServerSignature Off 

Lagre filen, avslutt og start Apache-webserveren på nytt slik:

sudo systemctl restart apache2  #SystemD
sudo service apache2 restart     #SysVInit

I denne artikkelen forklarte vi hvordan du skjuler Apache-nettserverens versjonsnummer pluss mye mer informasjon om webserveren din ved å bruke visse Apache-direktiver.

Hvis du kjører PHP på Apache-webserveren din, foreslår jeg at du skjuler PHP-versjonsnummeret.

Som vanlig kan du legge tankene dine til denne veiledningen via kommentarfeltet nedenfor.