Vyhledávání na webu

Jak skrýt číslo verze Apache a další citlivé informace

Když jsou vzdálené požadavky zasílány na váš webový server Apache, ve výchozím nastavení jsou některé cenné informace, jako je číslo verze webového serveru, podrobnosti o operačním systému serveru, nainstalované moduly Apache a další, odeslány spolu v dokumentech generovaných serverem zpět klientovi.

Přečtěte si také: Jak skrýt verzi serveru Nginx v systému Linux

To je spousta informací pro útočníky, aby mohli zneužít zranitelnosti a získat přístup k vašemu webovému serveru. Abychom se vyhnuli zobrazování informací o webovém serveru, v tomto článku ukážeme, jak skrýt informace webového serveru Apache pomocí konkrétních direktiv Apache.

Doporučená četba: 13 užitečných tipů pro zabezpečení vašeho webového serveru Apache

Dvě důležité směrnice jsou:

Podpis serveru

Což umožňuje přidat řádek zápatí zobrazující název serveru a číslo verze pod serverem generované dokumenty, jako jsou chybové zprávy, výpisy adresářů ftp mod_proxy, výstup mod_info a mnoho dalších.

Má tři možné hodnoty:

  1. Zapnuto – což umožňuje přidání řádku na konci zápatí do dokumentů generovaných serverem,
  2. Vypnuto – deaktivuje řádek zápatí a
  3. E-mail – vytvoří odkaz „mailto:“; který odešle e-mail ServerAdminovi odkazovaného dokumentu.
ServerTokeny

Určuje, zda pole hlavičky odpovědi serveru, které je odesláno zpět klientům, obsahuje popis typu operačního systému serveru a informace týkající se povolených modulů Apache.

Tato direktiva má následující možné hodnoty (plus vzorové informace zaslané klientům, když je nastavena konkrétní hodnota):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix)

Poznámka: Po verzi Apache 2.0.44 řídí direktiva ServerTokens také informace nabízené ServerSignature.

Doporučená četba: 5 tipů, jak zvýšit výkon webového serveru Apache

Chcete-li skrýt číslo verze webového serveru, podrobnosti o operačním systému serveru, nainstalované moduly Apache a další, otevřete konfigurační soubor webového serveru Apache pomocí svého oblíbeného editoru:

sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems

A přidejte/upravte/přidejte řádky níže:

ServerTokens Prod
ServerSignature Off

Uložte soubor, ukončete a restartujte webový server Apache takto:

sudo systemctl restart apache2  #SystemD
sudo service apache2 restart     #SysVInit

V tomto článku jsme vysvětlili, jak skrýt číslo verze webového serveru Apache a spoustu dalších informací o vašem webovém serveru pomocí určitých direktiv Apache.

Pokud na svém webovém serveru Apache používáte PHP, doporučuji skrýt číslo verze PHP.

Jako obvykle můžete do této příručky přidat své myšlenky prostřednictvím sekce komentářů níže.