Jak zmienić nazwę serwera Apache na dowolną wartość w nagłówkach serwera
W jednym z naszych kilku artykułów dotyczących bezpieczeństwa serwera Apache i wskazówek dotyczących wzmacniania serwera wyjaśniliśmy, jak ukryć numer wersji Apache i inne poufne informacje.
Omówiliśmy, jak chronić cenne informacje, takie jak numer wersji serwera WWW, szczegóły systemu operacyjnego serwera, zainstalowane moduły Apache i wiele innych, przed przesłaniem w dokumentach generowanych przez serwer z powrotem do klienta (prawdopodobnie atakujących).
W tym artykule pokażemy kolejną przydatną wskazówkę dotyczącą bezpieczeństwa Apache – zmianę nazwy serwera WWW HTTP na dowolną inną w nagłówku serwera.
Co właściwie mamy tutaj na myśli? Spójrz na zrzut ekranu poniżej, pokazuje on listę katalogów w katalogu głównym naszego serwera WWW, pod którym widać sygnaturę serwera (nazwa serwera WWW, wersja, system operacyjny, adres IP i port).
W większości przypadków hakerzy wykorzystują znane luki w oprogramowaniu serwerów internetowych do atakowania witryn internetowych lub aplikacji internetowych, dlatego zmiana nazwy serwera internetowego utrudnia im poznanie typu serwera działającego w systemie. Chodzi o zmianę nazwy „Apache” na inną.
Można to osiągnąć instalując moduł Apache mod_security.
-------- On Debian/Ubuntu --------
sudo apt install libapache2-mod-security2
sudo a2enmod security2
-------- On CentOS/RHEL and Fedora --------
yum install mod_security
dnf install mod_security
Następnie otwórz plik konfiguracyjny Apache.
sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu
vi /etc/httpd/conf/httpd.conf #RHEL/CentOS/Fedora
Teraz zmień lub dodaj te linie poniżej (pamiętaj o zmianie TecMint_Web na dowolną inną rzecz, która ma być widoczna dla klientów).
ServerTokens Full
SecServerSignature “Tecmint_Web”
Na koniec zrestartuj serwer WWW.
sudo systemctl restart apache2 #Debian/Ubuntu
systemctl restart httpd #RHEL/CentOS/Fedora
Teraz zweryfikuj stronę ponownie za pomocą polecenie curl lub uzyskując dostęp z przeglądarki, aby zobaczyć, że nazwa serwera internetowego zmieniła się z Apache na Tecmint_Web.
curl -I -L http://domain-or-ipaddress
Otóż to! Sprawdź następujące artykuły dotyczące serwera WWW Apache.
- Chroń Apache przed atakami Brute Force lub DDoS za pomocą Mod_Security
- Jak znaleźć pliki konfiguracyjne MySQL, PHP i Apache
- Jak zmienić domyślny katalog Apache „DocumentRoot” w systemie Linux
- Jak sprawdzić, które moduły Apache są włączone/załadowane w systemie Linux
- 13 wskazówek dotyczących bezpieczeństwa i wzmacniania serwera WWW Apache
W tym artykule pokazaliśmy, jak zmienić nazwę serwera WWW HTTP na dowolną inną nazwę w nagłówku serwera w systemie Linux. Skorzystaj z poniższego formularza opinii, aby dodać swoje przemyślenia na ten temat.