Jak ukryć numer wersji Apache i inne wrażliwe informacje
- 1288
- 86
- Igor Madej
Gdy żądania zdalne są wysyłane na Twój serwer WWW Apache, domyślnie pewne cenne informacje, takie jak numer wersji serwera WWW, szczegóły systemu operacyjnego serwera, zainstalowane moduły Apache oraz więcej, są wysyłane w dokumentach generowanych przez serwer do klienta.
Przeczytaj także: Jak ukryć wersję serwera Nginx w Linux
Jest to wiele informacji dla atakujących w celu wykorzystania luk i uzyskania dostępu do Twojego serwera WWW. Aby uniknąć wyświetlania informacji o severie, pokażemy w tym artykule, jak ukryć informacje z serwera Apache Web Server za pomocą konkretnych dyrektyw Apache.
Sugerowane przeczytanie: 13 Przydatne wskazówki dotyczące zabezpieczenia serwera WWW Apache
Dwie ważne dyrektywy to:
Serweryna
Co pozwala na dodanie linii stopki pokazująca nazwę serwera i numer wersji w dokumentach generowanych przez serwer, takich jak komunikaty o błędach, listy katalogów mod_proxy FTP, wyjście mod_info oraz wiele innych.
Ma trzy możliwe wartości:
- NA - co umożliwia dodanie linii stopki w dokumentach generowanych przez serwer,
- Wyłączony - wyłącza linię stopową i
- E-mail - tworzy „Mailto:" odniesienie; który wysyła pocztę na serwerodmin odwołanego dokumentu.
Servertokens
Określa, czy pole nagłówka odpowiedzi serwera, które jest wysyłane z powrotem do klientów, zawiera opis typu systemu operacyjnego serwera i informacje dotyczące włączonych modułów Apache.
Ta dyrektywa ma następujące możliwe wartości (plus przykładowe informacje wysyłane do klientów, gdy ustawiona jest określona wartość):
Servertokens pełne (lub nie określone) informacje wysyłane do klientów: serwer: Apache/2.4.2 (UNIX) PHP/4.2.2 MyMod/1.2 Servertokens Prod [UCTonly] Informacje wysłane do klientów: Serwer: Apache Servertokens Główne informacje Wysłane do klientów: serwer: Apache/2 Servertokens Minone Informacje Wysłane do klientów: serwer: Apache/2.4 Servertokens Min [IMAL] Informacje wysyłane do klientów: serwer: Apache/2.4.2 informacje systemu operacyjnego Servertokens wysłane do klientów: serwer: Apache/2.4.2 (UNIX)
Notatka: Po wersji Apache 2.0.44, Servertokens dyrektywa kontroluje również informacje oferowane przez Serweryna dyrektywa.
Sugerowane przeczytanie: 5 wskazówek, aby zwiększyć wydajność serwera WWW Apache
Aby ukryć numer wersji serwera, szczegółowe informacje o systemie operacyjnym serwera, zainstalowane moduły Apache i więcej, otwórz swój plik konfiguracyjny Apache Web Server za pomocą ulubionego edytora:
$ sudo vi/etc/apache2/apache2.Conf #Debian/Ubuntu Systems $ sudo vi/etc/httpd/conf/httpd.Conf #Rhel/Centos Systems
I dodaj/modyfikuj/dołącz poniższe wiersze:
Servertokens Prod Serversignature wyłącz
Zapisz plik, wyjdź i uruchom ponownie swój serwer WWW Apache:
$ sudo systemctl restart apache2 #systemd $ sudo service apache2 restart #sysvinit
W tym artykule wyjaśniliśmy, jak ukryć numer wersji serwera WWW Apache oraz dużo więcej informacji o twoim serwerze WWW za pomocą niektórych dyrektyw Apache.
Jeśli uruchamiasz PHP na swoim serwerze WWW Apache, sugeruję ukrycie numeru wersji PHP.
Jak zwykle możesz dodać swoje myśli do tego przewodnika za pośrednictwem sekcji komentarza poniżej.
- « Zainstaluj pamięć podręczną lakieru 5.2 dla Apache na Debian i Ubuntu
- Jak znaleźć wersję serwera pocztowego pocztowego w Linux »