Wyszukiwanie w witrynie

Jak ukryć numer wersji Apache i inne poufne informacje

Kiedy zdalne żądania są wysyłane do serwera WWW Apache, domyślnie niektóre cenne informacje, takie jak numer wersji serwera WWW, szczegóły systemu operacyjnego serwera, zainstalowane moduły Apache i inne, są wysyłane w dokumentach generowanych przez serwer z powrotem do klienta.

Przeczytaj także: Jak ukryć wersję serwera Nginx w systemie Linux

Jest to duża ilość informacji dla atakujących, pozwalających wykorzystać luki w zabezpieczeniach i uzyskać dostęp do Twojego serwera WWW. Aby uniknąć pokazywania informacji o serwerze internetowym, w tym artykule pokażemy, jak ukryć informacje o serwerze internetowym Apache za pomocą określonych dyrektyw Apache.

Sugerowana lektura: 13 przydatnych wskazówek dotyczących zabezpieczenia serwera WWW Apache

Dwie ważne dyrektywy to:

Podpis serwera

Co pozwala na dodanie linii stopki pokazującej nazwę serwera i numer wersji w dokumentach generowanych przez serwer, takich jak komunikaty o błędach, wykazy katalogów ftp mod_proxy, dane wyjściowe mod_info i wiele innych.

Ma trzy możliwe wartości:

  1. Włącz – co pozwala na dodanie końcowej linii stopki w dokumentach generowanych przez serwer,
  2. Wyłączone – wyłącza linię stopki i
  3. E-mail – tworzy odniesienie „mailto:”; który wysyła wiadomość e-mail do administratora serwera z odnośnym dokumentem.
Tokeny serwera

Określa, czy pole nagłówka odpowiedzi serwera odsyłane do klientów zawiera opis typu systemu operacyjnego serwera oraz informacje dotyczące włączonych modułów Apache.

Ta dyrektywa ma następujące możliwe wartości (plus przykładowe informacje wysyłane do klientów, gdy ustawiona jest konkretna wartość):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix)

Uwaga: po wersji Apache 2.0.44 dyrektywa ServerTokens kontroluje również informacje oferowane przez ServerSignature.

Sugerowana lektura: 5 wskazówek pozwalających zwiększyć wydajność serwera WWW Apache

Aby ukryć numer wersji serwera WWW, szczegóły systemu operacyjnego serwera, zainstalowane moduły Apache i inne informacje, otwórz plik konfiguracyjny serwera WWW Apache za pomocą ulubionego edytora:

sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems

I dodaj/zmodyfikuj/dołącz poniższe linie:

ServerTokens Prod
ServerSignature Off

Zapisz plik, wyjdź i uruchom ponownie serwer WWW Apache w następujący sposób:

sudo systemctl restart apache2  #SystemD
sudo service apache2 restart     #SysVInit

W tym artykule wyjaśniliśmy, jak ukryć numer wersji serwera WWW Apache, a także wiele więcej informacji o serwerze WWW za pomocą określonych dyrektyw Apache.

Jeśli używasz PHP na swoim serwerze WWW Apache, sugeruję ukrycie numeru wersji PHP.

Jak zwykle możesz dodać swoje przemyślenia do tego przewodnika, korzystając z sekcji komentarzy poniżej.