Keď sa na váš webový server Apache odosielajú vzdialené požiadavky, predvolene sa zobrazia niektoré cenné informácie, ako napríklad verzia webového servera číslo, podrobnosti o operačnom systéme servera, nainštalované moduly Apache a ďalšie, sa odosielajú v dokumentoch generovaných serverom späť na server zákazník.
Prečítajte si tiež: Ako skryť verziu servera Nginx v systéme Linux
Toto je veľa informácií pre útočníkov na využitie zraniteľností a získanie prístupu na váš webový server. Aby sme sa vyhli zobrazovaniu informácií o Web serveri, v tomto článku si ukážeme, ako skryť informácie o serveri Apache Web Server pomocou konkrétnych smerníc Apache.
Odporúčané čítanie:13 užitočných tipov na zabezpečenie webového servera Apache
Dve dôležité smernice sú:
Čo umožňuje pridať pod pätu riadok zobrazujúci názov servera a číslo verzie dokumenty generované serverom, ako sú chybové správy, zoznamy adresárov mod_proxy ftp, výstup mod_info plus mnoho ďalších.
Má tri možné hodnoty:
Určuje, či pole hlavičky odpovede servera, ktoré je odoslané späť klientom, obsahuje popis typu operačného systému servera a informácie o povolených moduloch Apache.
Táto smernica má nasledujúce možné hodnoty (plus vzorové informácie odoslané klientom, keď je nastavená konkrétna hodnota):
ServerTokens Úplné (alebo neuvedené) Informácie odoslané klientom: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 ServerTokens Prod [uctOnly] Informácie odoslané klientom: Server: Apache ServerTokens Hlavné informácie odoslané klientom: Server: Apache/2 ServerTokens Menšie informácie odoslané klientom: Server: Minimálne informácie o serveroch Apache/2.4 odoslané klientom: Server: Apache/2.4.2 Informácie o operačnom systéme ServerTokens odoslané klientom: Server: Apache/2.4.2 (Unix)
Poznámka: Po verzii Apache 2.0.44, ServerTokens smernica tiež kontroluje informácie, ktoré ponúka Serverový podpis smernice.
Odporúčané čítanie:5 tipov na zvýšenie výkonu webového servera Apache
Ak chcete skryť číslo verzie webového servera, podrobnosti o operačnom systéme servera, nainštalované moduly Apache a ďalšie, otvorte konfiguračný súbor webového servera Apache pomocou svojho obľúbeného editora:
$ sudo vi /etc/apache2/apache2.conf #systémy Debian/Ubuntu. $ sudo vi /etc/httpd/conf/httpd.conf #systémy RHEL/CentOS
A pridajte/upravte/pripojte riadky nižšie:
ServerTokens Prod. Serverový podpis je vypnutý
Uložte súbor, ukončite a reštartujte webový server Apache takto:
$ sudo systemctl reštartujte apache2 #SystemD. $ sudo service apache2 reštartujte #SysVInit.
V tomto článku sme vysvetlili, ako skryť číslo verzie webového servera Apache a mnoho ďalších informácií o vašom webovom serveri pomocou určitých smerníc Apache.
Ak na svojom webovom serveri Apache používate PHP, odporúčam vám to Skryť číslo verzie PHP.
Ako obvykle, do tejto príručky môžete pridať svoje myšlienky prostredníctvom nižšie uvedenej sekcie komentárov.