Zoeken op website

Hoe Apache-versienummer en andere gevoelige informatie te verbergen

Wanneer externe verzoeken naar uw Apache-webserver worden verzonden, wordt standaard waardevolle informatie, zoals het versienummer van de webserver, details van het besturingssysteem van de server, geïnstalleerde Apache-modules en meer, meegestuurd in door de server gegenereerde documenten terug naar de client.

Lees ook: Hoe de Nginx-serverversie in Linux te verbergen

Dit is een grote hoeveelheid informatie voor aanvallers om kwetsbaarheden te misbruiken en toegang te krijgen tot uw webserver. Om te voorkomen dat webserverinformatie wordt weergegeven, laten we in dit artikel zien hoe u de informatie van Apache Web Server kunt verbergen met behulp van bepaalde Apache-richtlijnen.

Voorgesteld leesvoer: 13 nuttige tips om uw Apache-webserver te beveiligen

De twee belangrijke richtlijnen zijn:

Serverhandtekening

Dit maakt het mogelijk om een voettekstregel toe te voegen die de servernaam en het versienummer toont onder door de server gegenereerde documenten zoals foutmeldingen, mod_proxy ftp-directorylijsten, mod_info-uitvoer en nog veel meer.

Het heeft drie mogelijke waarden:

  1. Aan – waarmee een afsluitende voettekst kan worden toegevoegd aan door de server gegenereerde documenten,
  2. Uit – schakelt de voettekstregel uit en
  3. E-mail – creëert een “mailto:” referentie; die een e-mail stuurt naar de ServerAdmin van het document waarnaar wordt verwezen.
ServerTokens

Het bepaalt of het headerveld van de serverreactie dat wordt teruggestuurd naar clients een beschrijving bevat van het besturingssysteem van de server en informatie over ingeschakelde Apache-modules.

Deze richtlijn heeft de volgende mogelijke waarden (plus voorbeeldinformatie die naar clients wordt verzonden wanneer de specifieke waarde is ingesteld):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix)

Opmerking: na Apache versie 2.0.44 bestuurt de ServerTokens richtlijn ook de informatie die wordt aangeboden door de >ServerSignature-richtlijn.

Aanbevolen leesmateriaal: 5 tips om de prestaties van Apache Web Server te verbeteren

Om het versienummer van de webserver, details van het besturingssysteem van de server, geïnstalleerde Apache-modules en meer te verbergen, opent u het configuratiebestand van uw Apache-webserver met uw favoriete editor:

sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems

En voeg de onderstaande regels toe/wijzig/voeg ze toe:

ServerTokens Prod
ServerSignature Off

Sla het bestand op, sluit af en start uw Apache-webserver opnieuw op als volgt:

sudo systemctl restart apache2  #SystemD
sudo service apache2 restart     #SysVInit

In dit artikel hebben we uitgelegd hoe u het versienummer van de Apache-webserver kunt verbergen, plus nog veel meer informatie over uw webserver met behulp van bepaalde Apache-richtlijnen.

Als u PHP op uw Apache-webserver gebruikt, raad ik u aan het PHP-versienummer te verbergen.

Zoals gewoonlijk kunt u uw mening aan deze gids toevoegen via het commentaargedeelte hieronder.