So verbergen Sie die Apache-Versionsnummer und andere vertrauliche Informationen
Wenn Remote-Anfragen an Ihren Apache-Webserver gesendet werden, werden standardmäßig einige wertvolle Informationen wie die Versionsnummer des Webservers, Details zum Serverbetriebssystem, installierte Apache-Module und mehr in vom Server generierten Dokumenten an den Client zurückgesendet.
Lesen Sie auch: So verbergen Sie die Nginx-Serverversion unter Linux
Dies sind zahlreiche Informationen für Angreifer, um Schwachstellen auszunutzen und Zugriff auf Ihren Webserver zu erhalten. Um zu vermeiden, dass Informationen zum Webserver angezeigt werden, zeigen wir in diesem Artikel, wie Sie die Informationen des Apache-Webservers mithilfe bestimmter Apache-Anweisungen ausblenden.
Empfohlene Lektüre: 13 nützliche Tipps zum Sichern Ihres Apache-Webservers
Die beiden wichtigen Richtlinien sind:
ServerSignatur
Dies ermöglicht das Hinzufügen einer Fußzeile mit dem Servernamen und der Versionsnummer unter servergenerierten Dokumenten wie Fehlermeldungen, mod_proxy-FTP-Verzeichnislisten, mod_info-Ausgaben und vielem mehr.
Es gibt drei mögliche Werte:
- Ein – ermöglicht das Hinzufügen einer abschließenden Fußzeile in servergenerierten Dokumenten,
- Aus – deaktiviert die Fußzeile und
- EMail – erstellt eine „mailto:“-Referenz; Dadurch wird eine E-Mail an den ServerAdmin des referenzierten Dokuments gesendet.
ServerTokens
Es bestimmt, ob das Server-Antwort-Header-Feld, das an Clients zurückgesendet wird, eine Beschreibung des Server-Betriebssystemtyps und Informationen zu aktivierten Apache-Modulen enthält.
Diese Direktive hat die folgenden möglichen Werte (plus Beispielinformationen, die an Clients gesendet werden, wenn der spezifische Wert festgelegt ist):
ServerTokens Full (or not specified)
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
Info sent to clients: Server: Apache
ServerTokens Major
Info sent to clients: Server: Apache/2
ServerTokens Minor
Info sent to clients: Server: Apache/2.4
ServerTokens Min[imal]
Info sent to clients: Server: Apache/2.4.2
ServerTokens OS
Info sent to clients: Server: Apache/2.4.2 (Unix)
Hinweis: Nach der Apache-Version 2.0.44 steuert die ServerTokens-Direktive auch die von ServerSignature-Direktive.
Empfohlene Lektüre: 5 Tipps zur Steigerung der Leistung des Apache-Webservers
Um die Versionsnummer des Webservers, Details zum Serverbetriebssystem, installierte Apache-Module und mehr auszublenden, öffnen Sie Ihre Apache-Webserver-Konfigurationsdatei mit Ihrem bevorzugten Editor:
sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
Und fügen Sie die folgenden Zeilen hinzu/ändern/hängen Sie sie an:
ServerTokens Prod
ServerSignature Off
Speichern Sie die Datei, beenden Sie Ihren Apache-Webserver und starten Sie ihn wie folgt neu:
sudo systemctl restart apache2 #SystemD
sudo service apache2 restart #SysVInit
In diesem Artikel haben wir erklärt, wie Sie die Versionsnummer des Apache-Webservers sowie viele weitere Informationen zu Ihrem Webserver mithilfe bestimmter Apache-Anweisungen verbergen können.
Wenn Sie PHP auf Ihrem Apache-Webserver ausführen, empfehle ich Ihnen, die PHP-Versionsnummer auszublenden.
Wie üblich können Sie Ihre Gedanken zu diesem Leitfaden über den Kommentarbereich unten hinzufügen.