Masquer Apache

Masquer Apache

Masquer Apache
application : Apache 1.3.x / 2.0.x apache
Requis module apache: – (inclus dans le noyau)
Champ d’application: configuration globale du serveur
Type: la sécurité

 

Apache-Web-ServerDescription: Comment faire pour masquer la version du logiciel Apache pour les requêtes à distance.

Utiles: Masquer Apache pour ne pasdivulguer des informations non-nécessaire.

Comme le montre “Découvrez le logiciel de serveur Web et la version d’un serveur distant” n’importe qui peut trouver des informations précieuses de notre bannière du serveur apache … Quelle est la version ? Vulnérable ? quels modules, également  pourraient avoir les vulnérabilités, et même le système d’exploitation en cours d’exécution … Un trop grand nombre … Ces information ne seront pas protéger contre les vulnérabilités réelles si elles existent, mais il vas rendre la vie plus difficile. En outre, cela n’empêchera pas les programmes logisiels d’empreintes digitales complexes pour détecter les informations sur le serveur web.

Je vais vous parler dans ce post de ​​la définition des deux directives Apache: ServerTokens et ServerSignature et comment ils peuvent être utilisés.

Nous allons dans la configuration principal:

Dans httpd.conf

ServerTokens ProductOnly 
ServerSignature Off

ServerTokens Cette directive permet de contrôler si le champ d’en-tête Réponse du serveur est renvoyé aux clients inclut une description de l’OS de type générique du serveur ainsi que des informations sur les modules compilés.

Définir valeur globale dans la configuration du serveur principal pour masquer apache.

La valeur par défaut est réglé sur FULL (ServerTokens complets). Donc, si votre distribution Linux n’a pas écrasé, alors que vous allez présenter toutes les informations possibles sur le monde.

ServerTokens Setting Server Banner Header

ProductOnlyServer: Apache
MajorServer: Apache/2
MinorServer: Apache/2.0
MinimalServer: Apache/2.0.55
OS Server: Apache/2.0.55 (Debian)

ServerSignature

Cette directive permet la configuration d’une ligne de fuite de bas de page sous générées par le serveur de documents (messages d’erreur, listings mod_proxy répertoire FTP, etc.).

Cela peut être en dehors des serveurs hôtes virtuels mondiaux config, ou pour le fichier. .htaccess

La valeur par défaut est désactivé (Off ServerSignature), mais certains distributions particulière de Linux pourrait permettre cela.

Par exemple sur le paquet Debian ServerSignature Permet serveur virtuel par défaut.

Être attentif à la définition de Off Cela peut être annuler sur les vhosts ou .htaccess.

 

Valeurs possibles:

Off (par défaut): Supprime la ligne de bas de page

On : ajoute une ligne avec le numéro de version du serveur et ServerName de l’hôte serveur virtuelle. Après la version 2.0.44, les détails du numéro de version du serveur présenté sont contrôlés par la directive ServerTokens.

Courriel: comprend toutes les informations avec ON Crée En outre, un “mailto:” référence à la ServerAdmin.

Remarque: l’établissement des directives pour fournir des informations minimales montré ne rendra pas votre serveur plus sécurisé. Si vous avez des problèmes vous devez mettre à jour la versions vulnérables dès que possible. Pourtant, il existe de nombreux vers qui vérifie cette bannière et s’ils trouvent quelque chose ils aiment (par exemple dans le module mod_ssl Vulnérable) Ils lanceront l’attaque. Il y a aussi d’autres applications d’empreintes digitales complexes qui peuvent trouver des informations sur votre serveur web, même avec ces directives au minimum … Mais même dans ce cas il y a de nombreux avantages et ils ne seront pas en mesure d’obtenir des informations précises telles que présentées dans la bannière d’Apache. Conclusion: si vous souhaitez fournir des informations sur votre système minimale c’est dans votre configuration d’Apache principale:

ServerTokens ProductOnly

ServerSignature Off

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

* Copy This Password *

* Type Or Paste Password Here *