Kuinka piilottaa Apache-versionumero ja muut arkaluonteiset tiedot
Kun etäpyyntöjä lähetetään Apache-verkkopalvelimellesi, oletusarvoisesti arvokkaita tietoja, kuten verkkopalvelimen versionumero, palvelimen käyttöjärjestelmän tiedot, asennetut Apache-moduulit ja muut, lähetetään palvelimen luomissa asiakirjoissa takaisin asiakkaalle.
Lue myös: Nginx-palvelinversion piilottaminen Linuxissa
Tämä on runsaasti tietoa hyökkääjille, jotta he voivat hyödyntää haavoittuvuuksia ja päästä verkkopalvelimellesi. Jotta Web-palvelimen tietoja ei näytetä, näytämme tässä artikkelissa, kuinka Apache-verkkopalvelimen tiedot piilotetaan tietyillä Apache-käskyillä.
Suositeltu luku: 13 hyödyllistä vinkkiä Apache-verkkopalvelimesi suojaamiseen
Kaksi tärkeää direktiiviä ovat:
Palvelimen allekirjoitus
Tämä mahdollistaa palvelimen nimen ja versionumeron osoittavan alatunnisteen lisäämisen palvelimen luomiin asiakirjoihin, kuten virheilmoituksiin, mod_proxy ftp -hakemistoluetteloihin, mod_info-lähtöön ja moniin muihin.
Sillä on kolme mahdollista arvoa:
- Päällä – joka mahdollistaa alatunnisteen viimeisen rivin lisäämisen palvelimen luomiin asiakirjoihin,
- Pois – poistaa alatunnisteen rivin ja käytöstä
- Sähköposti – luo mailto:-viitteen; joka lähettää sähköpostin viitatun asiakirjan ServerAdminille.
Palvelintunnukset
Se määrittää, sisältääkö asiakkaille takaisin lähetettävä palvelinvastauksen otsikkokenttä kuvauksen palvelimen käyttöjärjestelmätyypistä ja tietoja käytettävissä olevista Apache-moduuleista.
Tällä direktiivillä on seuraavat mahdolliset arvot (plus esimerkkitiedot, jotka lähetetään asiakkaille, kun tietty arvo on asetettu):
ServerTokens Full (or not specified)
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
Info sent to clients: Server: Apache
ServerTokens Major
Info sent to clients: Server: Apache/2
ServerTokens Minor
Info sent to clients: Server: Apache/2.4
ServerTokens Min[imal]
Info sent to clients: Server: Apache/2.4.2
ServerTokens OS
Info sent to clients: Server: Apache/2.4.2 (Unix)
Huomaa: Apache-version 2.0.44 jälkeen ServerTokens-direktiivi hallitsee myös >ServerSignature -ohje.
Suositeltu luku: 5 vinkkiä Apache-verkkopalvelimen suorituskyvyn parantamiseen
Jos haluat piilottaa verkkopalvelimen versionumeron, palvelimen käyttöjärjestelmän tiedot, asennetut Apache-moduulit ja paljon muuta, avaa Apache-verkkopalvelimen määritystiedosto suosikkieditorillasi:
sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
Ja lisää/muokkaa/liitä alla olevat rivit:
ServerTokens Prod
ServerSignature Off
Tallenna tiedosto, poistu ja käynnistä Apache-verkkopalvelin uudelleen seuraavasti:
sudo systemctl restart apache2 #SystemD
sudo service apache2 restart #SysVInit
Tässä artikkelissa selitimme kuinka piilottaa Apache-verkkopalvelimen versionumero sekä paljon lisätietoja verkkopalvelimestasi tiettyjen Apache-käskyjen avulla.
Jos käytät PHP:tä Apache-verkkopalvelimessasi, suosittelen piilottamaan PHP-versionumeron.
Kuten tavallista, voit lisätä ajatuksesi tähän oppaaseen alla olevan kommenttiosion kautta.