Kako sakriti broj verzije Apachea i druge osjetljive informacije
Kada se udaljeni zahtjevi pošalju na vaš Apache web server, prema zadanim postavkama, neke vrijedne informacije kao što su broj verzije web servera, detalji o operativnom sistemu servera, instalirani Apache moduli i više, šalju se zajedno u dokumentima generiranim na serveru nazad klijentu.
Pročitajte također: Kako sakriti verziju Nginx servera u Linuxu
Ovo je dobar dio informacija za napadače da iskoriste ranjivosti i dobiju pristup vašem web serveru. Kako bismo izbjegli prikazivanje informacija o web serveru, u ovom članku ćemo pokazati kako sakriti informacije o Apache web serveru koristeći određene Apache direktive.
Preporučeno čitanje: 13 korisnih savjeta za osiguranje vašeg Apache web servera
Dvije važne direktive su:
ServerSignature
Što dozvoljava dodavanje linije podnožja koja prikazuje ime servera i broj verzije ispod serverski generiranih dokumenata kao što su poruke o grešci, mod_proxy listi ftp direktorija, mod_info izlaz plus još mnogo toga.
Ima tri moguće vrijednosti:
- Uključeno – što omogućava dodavanje zadnje linije podnožja u dokumente koje generira server,
- Isključeno – onemogućuje liniju podnožja i
- E-pošta – kreira referencu “mailto:”; koji šalje mail serveru Admin-u referentnog dokumenta.
ServerTokens
Određuje da li polje zaglavlja odgovora servera koje se šalje nazad klijentima sadrži opis tipa OS servera i informacije o omogućenim Apache modulima.
Ova direktiva ima sljedeće moguće vrijednosti (plus informacije o uzorku koji se šalju klijentima kada je određena vrijednost postavljena):
ServerTokens Full (or not specified)
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
Info sent to clients: Server: Apache
ServerTokens Major
Info sent to clients: Server: Apache/2
ServerTokens Minor
Info sent to clients: Server: Apache/2.4
ServerTokens Min[imal]
Info sent to clients: Server: Apache/2.4.2
ServerTokens OS
Info sent to clients: Server: Apache/2.4.2 (Unix)
Napomena: Nakon Apache verzije 2.0.44, ServerTokens direktiva također kontrolira informacije koje nudi >ServerSignature direktiva.
Preporučeno čitanje: 5 savjeta za poboljšanje performansi Apache web servera
Da sakrijete broj verzije web servera, detalje o operativnom sistemu servera, instalirane Apache module i još mnogo toga, otvorite konfiguracijsku datoteku Apache web servera koristeći svoj omiljeni uređivač:
sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
I dodajte/izmijenite/dodajte redove ispod:
ServerTokens Prod
ServerSignature Off
Sačuvajte datoteku, izađite i ponovo pokrenite svoj Apache web server na sljedeći način:
sudo systemctl restart apache2 #SystemD
sudo service apache2 restart #SysVInit
U ovom članku smo objasnili kako sakriti broj verzije Apache web servera plus mnogo više informacija o vašem web serveru koristeći određene Apache direktive.
Ako koristite PHP na svom Apache web serveru, predlažem vam da sakrijete broj verzije PHP-a.
Kao i obično, možete dodati svoje mišljenje ovom vodiču putem odjeljka za komentare ispod.