Kako skriti številko različice Apache in druge občutljive informacije

Ko se oddaljene zahteve pošljejo na vaš spletni strežnik Apache, se nekatere dragocene informacije, kot so številka različice spletnega strežnika, podrobnosti operacijskega sistema strežnika, nameščeni moduli Apache in še več, pošljejo v strežniško ustvarjene dokumente stranki.

To je veliko informacij za napadalce, da izkoristijo ranljivosti in pridobijo dostop do vašega spletnega strežnika. Da bi se izognili prikazovanju informacij o spletnih različicah, bomo v tem članku prikazali, kako skriti podatke spletnega strežnika Apache z uporabo določenih direktiv Apache.

Dve pomembni direktivi sta:

Kar omogoča dodajanje vrstic podnožja, ki prikazuje ime strežnika in številko različice v strežniško ustvarjenih dokumentih, kot so sporočila o napakah, seznami imenikov mod_proxy ftp, izhod mod_info in še veliko več.

Ima tri možne vrednosti:

  1. Vklopljeno - kar omogoča dodajanje končne črte noge v strežniško ustvarjene dokumente,
  2. Izklopljeno - onemogoči vrstico noge in
  3. EMail - ustvari sklic »mailto:«; ki pošlje e-pošto na ServerAdmin referenčnega dokumenta.

Določa, ali polje glave odziva strežnika, ki se pošlje nazaj odjemalcem, vsebuje opis tipa OS strežnika in informacije o omogočenih modulih Apache.

Ta direktiva ima naslednje možne vrednosti (plus vzorčne informacije, ki se pošljejo strankam, ko je določena določena vrednost):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix)

Opomba: Po različici Apache 2.0.44 direktiva ServerTokens nadzoruje tudi informacije, ki jih ponuja direktiva ServerSignature.

Če želite skriti številko različice spletnega strežnika, podrobnosti o operacijskem sistemu strežnika, nameščene module Apache in še več, odprite konfiguracijsko datoteko spletnega strežnika Apache s svojim najljubšim urejevalnikom:

$ sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
$ sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems

In dodajte/spremenite/dodajte spodnje vrstice:

ServerTokens Prod
ServerSignature Off

Shranite datoteko, zapustite in znova zaženite spletni strežnik Apache tako:

$ sudo systemctl restart apache2  #SystemD
$ sudo service apache2 restart     #SysVInit

V tem članku smo razložili, kako skriti številko različice spletnega strežnika Apache in veliko več informacij o vašem spletnem strežniku z uporabo nekaterih direktiv Apache.

Če v spletnem strežniku Apache uporabljate PHP, predlagam, da skrijete številko različice PHP.

Kot običajno lahko svoje misli v ta vodnik dodate v spodnjem oddelku za komentarje.