Apache2 Server Version im HTTP Header unter Debian verbergen
Falls ihr die Standardkonfiguration eures Apache2 verwendet, dann ist euer Server ziemlich gesprächig, was die Versionsummer etc. angeht. Er schickt diese Informationen in jedem HTTP Header mit. Das sieht etwa so aus
Date: Sat, 16 Jul 2011 09:02:43 GMT Server: Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 PHP/5.3.6-13 with Suhosin-Patch X-Powered-By: PHP/5.3.6-13 X-Pingback: http://www.sascha-theves.de/xmlrpc.php Vary: Accept-Encoding Transfer-Encoding: chunked Content-Type: text/html; charset=UTF-8
Das stellt ein potenzielles Sicherheitsrisiko dar, da nun Angreifer Exploits gegen genau diese Version von Apache bzw. PHP fahren können.
Wenn ihr nicht wollt, dass euer Indianer seine Versionsnummer per Rauchzeichen in die Welt verteilt, dann öffnet die Apache Security Konfiguration
und ändert folgende Einstellungen
ServerTokens Prod ServerSignature Off
Damit auch die PHP Versionsummer verborgen bleibt, müsst ihr noch eine Einstellungen in eurer php.ini machen (bezieht sich auf PHP5)
Ändert hier den folgenden Wert
expose_php = Off
Damit die Änderungen angezogen werden, muss der Apache noch neu gestartet werden
Danach sieht der HTTP Header etwa so aus
Date: Sat, 16 Jul 2011 09:09:22 GMT Server: Apache X-Pingback: http://www.sascha-theves.de/xmlrpc.php Vary: Accept-Encoding Transfer-Encoding: chunked Content-Type: text/html; charset=UTF-8
Sieht doch schon besser aus.
Dankeschön,
da ich grade allgemein am verbessern einiger Server-Einstellungen war, wurde auch das umgesetzt.
Der Artikel/Beitrag hat mir sicherlich einiges an Zeit erspart, in der ich diese Option selbst gesucht hätte
Ciao