Weboldal keresés

Az Apache verziószámának és egyéb kényes információk elrejtése


Amikor távoli kéréseket küldenek az Apache webszerverére, alapértelmezés szerint néhány értékes információ, például a webszerver verziószáma, a kiszolgáló operációs rendszerének adatai, a telepített Apache modulok és egyebek a szerver által generált dokumentumokban visszaküldésre kerül az ügyfélnek.

Olvassa el még: Az Nginx-kiszolgáló verziójának elrejtése Linux alatt

Ez sok információ a támadók számára a biztonsági rések kihasználásához és a webszerverhez való hozzáféréshez. A webszerver információinak megjelenítésének elkerülése érdekében ebben a cikkben bemutatjuk, hogyan lehet elrejteni az Apache webszerver információit bizonyos Apache direktívák használatával.

Javasolt olvasmány: 13 hasznos tipp az Apache webszerver biztonságossá tételéhez

A két fontos irányelv a következő:

SzerverAláírás

Ez lehetővé teszi a kiszolgáló nevét és verziószámát mutató láblécsor hozzáadását a szerver által generált dokumentumokhoz, mint például a hibaüzenetek, a mod_proxy ftp könyvtárlistái, a mod_info kimenet és még sok más.

Három lehetséges értéke van:

  1. Be – amely lehetővé teszi egy utolsó láblécsor hozzáadását a szerver által generált dokumentumokhoz,
  2. Ki – letiltja a láblécsort és
  3. E-mail – létrehoz egy „mailto:” hivatkozást; amely levelet küld a hivatkozott dokumentum ServerAdminjának.
SzerverTokenek

Meghatározza, hogy az ügyfeleknek visszaküldött szerver válaszfejléc mező tartalmazza-e a kiszolgáló operációs rendszerének leírását és az engedélyezett Apache modulokra vonatkozó információkat.

Ennek a direktívának a következő lehetséges értékei vannak (plusz mintainformáció, amelyet az ügyfeleknek küldenek, amikor az adott érték be van állítva):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix) 

Megjegyzés: Az Apache 2.0.44 verziója után a ServerTokens direktíva szabályozza a ServerTokens direktíva által kínált információkat is. >ServerSignature direktíva.

Javasolt olvasmány: 5 tipp az Apache webszerver teljesítményének növeléséhez

A webszerver verziószámának, a kiszolgáló operációs rendszerének részleteinek, a telepített Apache modulok és egyebek elrejtéséhez nyissa meg az Apache webszerver konfigurációs fájlját kedvenc szerkesztőjével:

sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems 

És adja hozzá/módosítsa/hozza hozzá az alábbi sorokat:

ServerTokens Prod
ServerSignature Off 

Mentse el a fájlt, lépjen ki, majd indítsa újra az Apache webszervert az alábbiak szerint:

sudo systemctl restart apache2  #SystemD
sudo service apache2 restart     #SysVInit

Ebben a cikkben elmagyaráztuk, hogyan rejtheti el az Apache webszerver verziószámát, valamint számos további információt a webszerverről bizonyos Apache-irányelvek használatával.

Ha PHP-t futtat az Apache webszerverén, azt javaslom, hogy rejtse el a PHP verziószámát.

Szokás szerint az alábbi megjegyzés szakaszon keresztül hozzáadhatja gondolatait ehhez az útmutatóhoz.