Kuinka piilottaa Apache-versionumero ja muut arkaluonteiset tiedot

Kun etäpyyntöjä lähetetään Apache-verkkopalvelimellesi, oletusarvoisesti arvokkaita tietoja, kuten verkkopalvelimen versionumero, palvelimen käyttöjärjestelmän tiedot, asennetut Apache-moduulit ja muut, lähetetään palvelimen luomissa asiakirjoissa takaisin asiakkaalle.

Lue myös: Nginx-palvelinversion piilottaminen Linuxissa

Tämä on runsaasti tietoa hyökkääjille, jotta he voivat hyödyntää haavoittuvuuksia ja päästä verkkopalvelimellesi. Jotta Web-palvelimen tietoja ei näytetä, näytämme tässä artikkelissa, kuinka Apache-verkkopalvelimen tiedot piilotetaan tietyillä Apache-käskyillä.

Suositeltu luku: 13 hyödyllistä vinkkiä Apache-verkkopalvelimesi suojaamiseen

Kaksi tärkeää direktiiviä ovat:

Palvelimen allekirjoitus

Tämä mahdollistaa palvelimen nimen ja versionumeron osoittavan alatunnisteen lisäämisen palvelimen luomiin asiakirjoihin, kuten virheilmoituksiin, mod_proxy ftp -hakemistoluetteloihin, mod_info-lähtöön ja moniin muihin.

Sillä on kolme mahdollista arvoa:

  1. Päällä – joka mahdollistaa alatunnisteen viimeisen rivin lisäämisen palvelimen luomiin asiakirjoihin,
  2. Pois – poistaa alatunnisteen rivin ja käytöstä
  3. Sähköposti – luo mailto:-viitteen; joka lähettää sähköpostin viitatun asiakirjan ServerAdminille.
Palvelintunnukset

Se määrittää, sisältääkö asiakkaille takaisin lähetettävä palvelinvastauksen otsikkokenttä kuvauksen palvelimen käyttöjärjestelmätyypistä ja tietoja käytettävissä olevista Apache-moduuleista.

Tällä direktiivillä on seuraavat mahdolliset arvot (plus esimerkkitiedot, jotka lähetetään asiakkaille, kun tietty arvo on asetettu):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix)

Huomaa: Apache-version 2.0.44 jälkeen ServerTokens-direktiivi hallitsee myös >ServerSignature -ohje.

Suositeltu luku: 5 vinkkiä Apache-verkkopalvelimen suorituskyvyn parantamiseen

Jos haluat piilottaa verkkopalvelimen versionumeron, palvelimen käyttöjärjestelmän tiedot, asennetut Apache-moduulit ja paljon muuta, avaa Apache-verkkopalvelimen määritystiedosto suosikkieditorillasi:

sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems

Ja lisää/muokkaa/liitä alla olevat rivit:

ServerTokens Prod
ServerSignature Off

Tallenna tiedosto, poistu ja käynnistä Apache-verkkopalvelin uudelleen seuraavasti:

sudo systemctl restart apache2  #SystemD
sudo service apache2 restart     #SysVInit

Tässä artikkelissa selitimme kuinka piilottaa Apache-verkkopalvelimen versionumero sekä paljon lisätietoja verkkopalvelimestasi tiettyjen Apache-käskyjen avulla.

Jos käytät PHP:tä Apache-verkkopalvelimessasi, suosittelen piilottamaan PHP-versionumeron.

Kuten tavallista, voit lisätä ajatuksesi tähän oppaaseen alla olevan kommenttiosion kautta.