Kako sakriti broj verzije Apachea i druge osjetljive informacije
Kada se udaljeni zahtjevi pošalju vašem Apache web poslužitelju, prema zadanim postavkama, neke vrijedne informacije kao što su broj verzije web poslužitelja, pojedinosti o operativnom sustavu poslužitelja, instalirani Apache moduli i više, šalju se zajedno u dokumentima koje generira poslužitelj natrag klijentu.
Pročitajte također: Kako sakriti verziju Nginx poslužitelja u Linuxu
Ovo je dobar dio informacija za napadače da iskoriste ranjivosti i dobiju pristup vašem web poslužitelju. Kako bismo izbjegli prikazivanje informacija o web poslužitelju, u ovom ćemo članku pokazati kako sakriti informacije o web poslužitelju Apache pomoću određenih Apache direktiva.
Preporučeno za čitanje: 13 korisnih savjeta za zaštitu vašeg Apache web poslužitelja
Dvije važne direktive su:
Potpis poslužitelja
Što dopušta dodavanje retka podnožja koji prikazuje naziv poslužitelja i broj verzije ispod dokumenata koje je generirao poslužitelj kao što su poruke o pogrešci, popisi mod_proxy ftp direktorija, izlaz mod_info i još mnogo toga.
Ima tri moguće vrijednosti:
- Uključeno – što omogućuje dodavanje zadnjeg retka podnožja u dokumente koje generira poslužitelj,
- Isključeno – onemogućuje liniju podnožja i
- E-pošta – stvara referencu “mailto:”; koji šalje e-poštu ServerAdmin-u navedenog dokumenta.
Tokeni poslužitelja
Određuje sadrži li polje zaglavlja odgovora poslužitelja koje se šalje natrag klijentima opis vrste OS-a poslužitelja i informacije o omogućenim Apache modulima.
Ova direktiva ima sljedeće moguće vrijednosti (plus ogledne informacije koje se šalju klijentima kada se postavi određena vrijednost):
ServerTokens Full (or not specified)
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
Info sent to clients: Server: Apache
ServerTokens Major
Info sent to clients: Server: Apache/2
ServerTokens Minor
Info sent to clients: Server: Apache/2.4
ServerTokens Min[imal]
Info sent to clients: Server: Apache/2.4.2
ServerTokens OS
Info sent to clients: Server: Apache/2.4.2 (Unix)
Napomena: Nakon verzije Apachea 2.0.44, direktiva ServerTokens također kontrolira informacije koje nudi ServerSignature direktiva.
Predloženo za čitanje: 5 savjeta za poboljšanje performansi Apache web poslužitelja
Kako biste sakrili broj verzije web poslužitelja, pojedinosti o operativnom sustavu poslužitelja, instalirane module Apache i još mnogo toga, otvorite konfiguracijsku datoteku vašeg web poslužitelja Apache koristeći svoj omiljeni editor:
sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
I dodajte/izmijenite/dodajte donje retke:
ServerTokens Prod
ServerSignature Off
Spremite datoteku, izađite i ponovno pokrenite svoj Apache web poslužitelj ovako:
sudo systemctl restart apache2 #SystemD
sudo service apache2 restart #SysVInit
U ovom smo članku objasnili kako sakriti broj verzije Apache web poslužitelja plus puno više informacija o vašem web poslužitelju pomoću određenih Apache direktiva.
Ako koristite PHP na svom web poslužitelju Apache, predlažem da sakrijete broj verzije PHP-a.
Kao i obično, možete dodati svoje mišljenje ovom vodiču putem odjeljka za komentare u nastavku.