Kako sakriti broj verzije Apachea i druge osjetljive informacije


Kada se udaljeni zahtjevi pošalju na vaš Apache web server, prema zadanim postavkama, neke vrijedne informacije kao što su broj verzije web servera, detalji o operativnom sistemu servera, instalirani Apache moduli i više, šalju se zajedno u dokumentima generiranim na serveru nazad klijentu.

Pročitajte također: Kako sakriti verziju Nginx servera u Linuxu

Ovo je dobar dio informacija za napadače da iskoriste ranjivosti i dobiju pristup vašem web serveru. Kako bismo izbjegli prikazivanje informacija o web serveru, u ovom članku ćemo pokazati kako sakriti informacije o Apache web serveru koristeći određene Apache direktive.

Preporučeno čitanje: 13 korisnih savjeta za osiguranje vašeg Apache web servera

Dvije važne direktive su:

ServerSignature

Što dozvoljava dodavanje linije podnožja koja prikazuje ime servera i broj verzije ispod serverski generiranih dokumenata kao što su poruke o grešci, mod_proxy listi ftp direktorija, mod_info izlaz plus još mnogo toga.

Ima tri moguće vrijednosti:

  1. Uključeno – što omogućava dodavanje zadnje linije podnožja u dokumente koje generira server,
  2. Isključeno – onemogućuje liniju podnožja i
  3. E-pošta – kreira referencu “mailto:”; koji šalje mail serveru Admin-u referentnog dokumenta.
ServerTokens

Određuje da li polje zaglavlja odgovora servera koje se šalje nazad klijentima sadrži opis tipa OS servera i informacije o omogućenim Apache modulima.

Ova direktiva ima sljedeće moguće vrijednosti (plus informacije o uzorku koji se šalju klijentima kada je određena vrijednost postavljena):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix) 

Napomena: Nakon Apache verzije 2.0.44, ServerTokens direktiva također kontrolira informacije koje nudi >ServerSignature direktiva.

Preporučeno čitanje: 5 savjeta za poboljšanje performansi Apache web servera

Da sakrijete broj verzije web servera, detalje o operativnom sistemu servera, instalirane Apache module i još mnogo toga, otvorite konfiguracijsku datoteku Apache web servera koristeći svoj omiljeni uređivač:

sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems 

I dodajte/izmijenite/dodajte redove ispod:

ServerTokens Prod
ServerSignature Off 

Sačuvajte datoteku, izađite i ponovo pokrenite svoj Apache web server na sljedeći način:

sudo systemctl restart apache2  #SystemD
sudo service apache2 restart     #SysVInit

U ovom članku smo objasnili kako sakriti broj verzije Apache web servera plus mnogo više informacija o vašem web serveru koristeći određene Apache direktive.

Ako koristite PHP na svom Apache web serveru, predlažem vam da sakrijete broj verzije PHP-a.

Kao i obično, možete dodati svoje mišljenje ovom vodiču putem odjeljka za komentare ispod.