Hoe Apache-versienummer en andere gevoelige informatie te verbergen
Wanneer externe verzoeken naar uw Apache-webserver worden verzonden, wordt standaard waardevolle informatie, zoals het versienummer van de webserver, details van het besturingssysteem van de server, geïnstalleerde Apache-modules en meer, meegestuurd in door de server gegenereerde documenten terug naar de client.
Lees ook: Hoe de Nginx-serverversie in Linux te verbergen
Dit is een grote hoeveelheid informatie voor aanvallers om kwetsbaarheden te misbruiken en toegang te krijgen tot uw webserver. Om te voorkomen dat webserverinformatie wordt weergegeven, laten we in dit artikel zien hoe u de informatie van Apache Web Server kunt verbergen met behulp van bepaalde Apache-richtlijnen.
Voorgesteld leesvoer: 13 nuttige tips om uw Apache-webserver te beveiligen
De twee belangrijke richtlijnen zijn:
Serverhandtekening
Dit maakt het mogelijk om een voettekstregel toe te voegen die de servernaam en het versienummer toont onder door de server gegenereerde documenten zoals foutmeldingen, mod_proxy ftp-directorylijsten, mod_info-uitvoer en nog veel meer.
Het heeft drie mogelijke waarden:
- Aan – waarmee een afsluitende voettekst kan worden toegevoegd aan door de server gegenereerde documenten,
- Uit – schakelt de voettekstregel uit en
- E-mail – creëert een “mailto:” referentie; die een e-mail stuurt naar de ServerAdmin van het document waarnaar wordt verwezen.
ServerTokens
Het bepaalt of het headerveld van de serverreactie dat wordt teruggestuurd naar clients een beschrijving bevat van het besturingssysteem van de server en informatie over ingeschakelde Apache-modules.
Deze richtlijn heeft de volgende mogelijke waarden (plus voorbeeldinformatie die naar clients wordt verzonden wanneer de specifieke waarde is ingesteld):
ServerTokens Full (or not specified)
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
Info sent to clients: Server: Apache
ServerTokens Major
Info sent to clients: Server: Apache/2
ServerTokens Minor
Info sent to clients: Server: Apache/2.4
ServerTokens Min[imal]
Info sent to clients: Server: Apache/2.4.2
ServerTokens OS
Info sent to clients: Server: Apache/2.4.2 (Unix)
Opmerking: na Apache versie 2.0.44 bestuurt de ServerTokens richtlijn ook de informatie die wordt aangeboden door de >ServerSignature-richtlijn.
Aanbevolen leesmateriaal: 5 tips om de prestaties van Apache Web Server te verbeteren
Om het versienummer van de webserver, details van het besturingssysteem van de server, geïnstalleerde Apache-modules en meer te verbergen, opent u het configuratiebestand van uw Apache-webserver met uw favoriete editor:
sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
En voeg de onderstaande regels toe/wijzig/voeg ze toe:
ServerTokens Prod
ServerSignature Off
Sla het bestand op, sluit af en start uw Apache-webserver opnieuw op als volgt:
sudo systemctl restart apache2 #SystemD
sudo service apache2 restart #SysVInit
In dit artikel hebben we uitgelegd hoe u het versienummer van de Apache-webserver kunt verbergen, plus nog veel meer informatie over uw webserver met behulp van bepaalde Apache-richtlijnen.
Als u PHP op uw Apache-webserver gebruikt, raad ik u aan het PHP-versienummer te verbergen.
Zoals gewoonlijk kunt u uw mening aan deze gids toevoegen via het commentaargedeelte hieronder.