Hvordan skjule Apache-versjonsnummer og annen sensitiv informasjon
Når eksterne forespørsler sendes til din Apache-webserver, sendes som standard noe verdifull informasjon som webserverens versjonsnummer, serveroperativsystemdetaljer, installerte Apache-moduler pluss mer i servergenererte dokumenter tilbake til klienten.
Les også: Slik skjuler du Nginx-serverversjonen i Linux
Dette er en god del informasjon for angripere for å utnytte sårbarheter og få tilgang til webserveren din. For å unngå å vise webserverinformasjon, vil vi i denne artikkelen vise hvordan du skjuler informasjonen til Apache Web Server ved å bruke bestemte Apache-direktiver.
Foreslått lesing: 13 nyttige tips for å sikre Apache-nettserveren din
De to viktige direktivene er:
Serversignatur
Som tillater å legge til en bunntekst som viser servernavn og versjonsnummer under servergenererte dokumenter som feilmeldinger, mod_proxy ftp-katalogoppføringer, mod_info-utgang pluss mange flere.
Den har tre mulige verdier:
- På – som gjør det mulig å legge til en etterfølgende bunntekstlinje i servergenererte dokumenter,
- Av – deaktiverer bunntekstlinjen og
- E-post – oppretter en «mailto:»-referanse; som sender en e-post til ServerAdmin for det refererte dokumentet.
ServerTokens
Den avgjør om serversvarhodefeltet som sendes tilbake til klienter inneholder en beskrivelse av serverens OS-type og informasjon om aktiverte Apache-moduler.
Dette direktivet har følgende mulige verdier (pluss eksempelinformasjon sendt til klienter når den spesifikke verdien er angitt):
ServerTokens Full (or not specified)
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
Info sent to clients: Server: Apache
ServerTokens Major
Info sent to clients: Server: Apache/2
ServerTokens Minor
Info sent to clients: Server: Apache/2.4
ServerTokens Min[imal]
Info sent to clients: Server: Apache/2.4.2
ServerTokens OS
Info sent to clients: Server: Apache/2.4.2 (Unix)
Merk: Etter Apache-versjon 2.0.44 kontrollerer ServerTokens-direktivet også informasjonen som tilbys av >ServerSignature-direktivet.
Foreslått lesing: 5 tips for å øke ytelsen til Apache Web Server
For å skjule webserverens versjonsnummer, serveroperativsystemdetaljer, installerte Apache-moduler og mer, åpne Apache-nettserverens konfigurasjonsfil ved å bruke din favorittredigerer:
sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
Og legg til/endre/legg til linjene nedenfor:
ServerTokens Prod
ServerSignature Off
Lagre filen, avslutt og start Apache-webserveren på nytt slik:
sudo systemctl restart apache2 #SystemD
sudo service apache2 restart #SysVInit
I denne artikkelen forklarte vi hvordan du skjuler Apache-nettserverens versjonsnummer pluss mye mer informasjon om webserveren din ved å bruke visse Apache-direktiver.
Hvis du kjører PHP på Apache-webserveren din, foreslår jeg at du skjuler PHP-versjonsnummeret.
Som vanlig kan du legge tankene dine til denne veiledningen via kommentarfeltet nedenfor.