Jak skrýt číslo verze Apache a další citlivé informace
Když jsou vzdálené požadavky zasílány na váš webový server Apache, ve výchozím nastavení jsou některé cenné informace, jako je číslo verze webového serveru, podrobnosti o operačním systému serveru, nainstalované moduly Apache a další, odeslány spolu v dokumentech generovaných serverem zpět klientovi.
Přečtěte si také: Jak skrýt verzi serveru Nginx v systému Linux
To je spousta informací pro útočníky, aby mohli zneužít zranitelnosti a získat přístup k vašemu webovému serveru. Abychom se vyhnuli zobrazování informací o webovém serveru, v tomto článku ukážeme, jak skrýt informace webového serveru Apache pomocí konkrétních direktiv Apache.
Doporučená četba: 13 užitečných tipů pro zabezpečení vašeho webového serveru Apache
Dvě důležité směrnice jsou:
Podpis serveru
Což umožňuje přidat řádek zápatí zobrazující název serveru a číslo verze pod serverem generované dokumenty, jako jsou chybové zprávy, výpisy adresářů ftp mod_proxy, výstup mod_info a mnoho dalších.
Má tři možné hodnoty:
- Zapnuto – což umožňuje přidání řádku na konci zápatí do dokumentů generovaných serverem,
- Vypnuto – deaktivuje řádek zápatí a
- E-mail – vytvoří odkaz „mailto:“; který odešle e-mail ServerAdminovi odkazovaného dokumentu.
ServerTokeny
Určuje, zda pole hlavičky odpovědi serveru, které je odesláno zpět klientům, obsahuje popis typu operačního systému serveru a informace týkající se povolených modulů Apache.
Tato direktiva má následující možné hodnoty (plus vzorové informace zaslané klientům, když je nastavena konkrétní hodnota):
ServerTokens Full (or not specified)
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
Info sent to clients: Server: Apache
ServerTokens Major
Info sent to clients: Server: Apache/2
ServerTokens Minor
Info sent to clients: Server: Apache/2.4
ServerTokens Min[imal]
Info sent to clients: Server: Apache/2.4.2
ServerTokens OS
Info sent to clients: Server: Apache/2.4.2 (Unix)
Poznámka: Po verzi Apache 2.0.44 řídí direktiva ServerTokens také informace nabízené ServerSignature.
Doporučená četba: 5 tipů, jak zvýšit výkon webového serveru Apache
Chcete-li skrýt číslo verze webového serveru, podrobnosti o operačním systému serveru, nainstalované moduly Apache a další, otevřete konfigurační soubor webového serveru Apache pomocí svého oblíbeného editoru:
sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
A přidejte/upravte/přidejte řádky níže:
ServerTokens Prod
ServerSignature Off
Uložte soubor, ukončete a restartujte webový server Apache takto:
sudo systemctl restart apache2 #SystemD
sudo service apache2 restart #SysVInit
V tomto článku jsme vysvětlili, jak skrýt číslo verze webového serveru Apache a spoustu dalších informací o vašem webovém serveru pomocí určitých direktiv Apache.
Pokud na svém webovém serveru Apache používáte PHP, doporučuji skrýt číslo verze PHP.
Jako obvykle můžete do této příručky přidat své myšlenky prostřednictvím sekce komentářů níže.