Website-Suche

So verbergen Sie die Apache-Versionsnummer und andere vertrauliche Informationen

Wenn Remote-Anfragen an Ihren Apache-Webserver gesendet werden, werden standardmäßig einige wertvolle Informationen wie die Versionsnummer des Webservers, Details zum Serverbetriebssystem, installierte Apache-Module und mehr in vom Server generierten Dokumenten an den Client zurückgesendet.

Lesen Sie auch: So verbergen Sie die Nginx-Serverversion unter Linux

Dies sind zahlreiche Informationen für Angreifer, um Schwachstellen auszunutzen und Zugriff auf Ihren Webserver zu erhalten. Um zu vermeiden, dass Informationen zum Webserver angezeigt werden, zeigen wir in diesem Artikel, wie Sie die Informationen des Apache-Webservers mithilfe bestimmter Apache-Anweisungen ausblenden.

Empfohlene Lektüre: 13 nützliche Tipps zum Sichern Ihres Apache-Webservers

Die beiden wichtigen Richtlinien sind:

ServerSignatur

Dies ermöglicht das Hinzufügen einer Fußzeile mit dem Servernamen und der Versionsnummer unter servergenerierten Dokumenten wie Fehlermeldungen, mod_proxy-FTP-Verzeichnislisten, mod_info-Ausgaben und vielem mehr.

Es gibt drei mögliche Werte:

  1. Ein – ermöglicht das Hinzufügen einer abschließenden Fußzeile in servergenerierten Dokumenten,
  2. Aus – deaktiviert die Fußzeile und
  3. EMail – erstellt eine „mailto:“-Referenz; Dadurch wird eine E-Mail an den ServerAdmin des referenzierten Dokuments gesendet.
ServerTokens

Es bestimmt, ob das Server-Antwort-Header-Feld, das an Clients zurückgesendet wird, eine Beschreibung des Server-Betriebssystemtyps und Informationen zu aktivierten Apache-Modulen enthält.

Diese Direktive hat die folgenden möglichen Werte (plus Beispielinformationen, die an Clients gesendet werden, wenn der spezifische Wert festgelegt ist):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix)

Hinweis: Nach der Apache-Version 2.0.44 steuert die ServerTokens-Direktive auch die von ServerSignature-Direktive.

Empfohlene Lektüre: 5 Tipps zur Steigerung der Leistung des Apache-Webservers

Um die Versionsnummer des Webservers, Details zum Serverbetriebssystem, installierte Apache-Module und mehr auszublenden, öffnen Sie Ihre Apache-Webserver-Konfigurationsdatei mit Ihrem bevorzugten Editor:

sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems

Und fügen Sie die folgenden Zeilen hinzu/ändern/hängen Sie sie an:

ServerTokens Prod
ServerSignature Off

Speichern Sie die Datei, beenden Sie Ihren Apache-Webserver und starten Sie ihn wie folgt neu:

sudo systemctl restart apache2  #SystemD
sudo service apache2 restart     #SysVInit

In diesem Artikel haben wir erklärt, wie Sie die Versionsnummer des Apache-Webservers sowie viele weitere Informationen zu Ihrem Webserver mithilfe bestimmter Apache-Anweisungen verbergen können.

Wenn Sie PHP auf Ihrem Apache-Webserver ausführen, empfehle ich Ihnen, die PHP-Versionsnummer auszublenden.

Wie üblich können Sie Ihre Gedanken zu diesem Leitfaden über den Kommentarbereich unten hinzufügen.