Kako sakriti broj verzije Apachea i druge osjetljive informacije

Kada se udaljeni zahtjevi pošalju vašem Apache web poslužitelju, prema zadanim postavkama, neke vrijedne informacije kao što su broj verzije web poslužitelja, pojedinosti o operativnom sustavu poslužitelja, instalirani Apache moduli i više, šalju se zajedno u dokumentima koje generira poslužitelj natrag klijentu.

Pročitajte također: Kako sakriti verziju Nginx poslužitelja u Linuxu

Ovo je dobar dio informacija za napadače da iskoriste ranjivosti i dobiju pristup vašem web poslužitelju. Kako bismo izbjegli prikazivanje informacija o web poslužitelju, u ovom ćemo članku pokazati kako sakriti informacije o web poslužitelju Apache pomoću određenih Apache direktiva.

Preporučeno za čitanje: 13 korisnih savjeta za zaštitu vašeg Apache web poslužitelja

Dvije važne direktive su:

Potpis poslužitelja

Što dopušta dodavanje retka podnožja koji prikazuje naziv poslužitelja i broj verzije ispod dokumenata koje je generirao poslužitelj kao što su poruke o pogrešci, popisi mod_proxy ftp direktorija, izlaz mod_info i još mnogo toga.

Ima tri moguće vrijednosti:

  1. Uključeno – što omogućuje dodavanje zadnjeg retka podnožja u dokumente koje generira poslužitelj,
  2. Isključeno – onemogućuje liniju podnožja i
  3. E-pošta – stvara referencu “mailto:”; koji šalje e-poštu ServerAdmin-u navedenog dokumenta.
Tokeni poslužitelja

Određuje sadrži li polje zaglavlja odgovora poslužitelja koje se šalje natrag klijentima opis vrste OS-a poslužitelja i informacije o omogućenim Apache modulima.

Ova direktiva ima sljedeće moguće vrijednosti (plus ogledne informacije koje se šalju klijentima kada se postavi određena vrijednost):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix)

Napomena: Nakon verzije Apachea 2.0.44, direktiva ServerTokens također kontrolira informacije koje nudi ServerSignature direktiva.

Predloženo za čitanje: 5 savjeta za poboljšanje performansi Apache web poslužitelja

Kako biste sakrili broj verzije web poslužitelja, pojedinosti o operativnom sustavu poslužitelja, instalirane module Apache i još mnogo toga, otvorite konfiguracijsku datoteku vašeg web poslužitelja Apache koristeći svoj omiljeni editor:

sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems

I dodajte/izmijenite/dodajte donje retke:

ServerTokens Prod
ServerSignature Off

Spremite datoteku, izađite i ponovno pokrenite svoj Apache web poslužitelj ovako:

sudo systemctl restart apache2  #SystemD
sudo service apache2 restart     #SysVInit

U ovom smo članku objasnili kako sakriti broj verzije Apache web poslužitelja plus puno više informacija o vašem web poslužitelju pomoću određenih Apache direktiva.

Ako koristite PHP na svom web poslužitelju Apache, predlažem da sakrijete broj verzije PHP-a.

Kao i obično, možete dodati svoje mišljenje ovom vodiču putem odjeljka za komentare u nastavku.