Как скрыть номер версии Apache и другую конфиденциальную информацию
Когда удаленные запросы отправляются на ваш веб-сервер Apache, по умолчанию некоторая ценная информация, такая как номер версии веб-сервера, сведения об операционной системе сервера, установленные модули Apache и многое другое, отправляется вместе с сгенерированными сервером документами обратно клиенту.
Читайте также: как скрыть версию сервера Nginx в Linux
Это хороший объем информации, позволяющий злоумышленникам использовать уязвимости и получить доступ к вашему веб-серверу. Чтобы не показывать информацию о веб-сервере, в этой статье мы покажем, как скрыть информацию о веб-сервере Apache с помощью определенных директив Apache.
Рекомендуется к прочтению: 13 полезных советов по защите веб-сервера Apache
Две важные директивы:
Подпись сервера
Это позволяет добавлять строку нижнего колонтитула, показывающую имя сервера и номер версии, под документами, сгенерированными сервером, такими как сообщения об ошибках, списки каталогов ftp mod_proxy, выходные данные mod_info и многое другое.
Он имеет три возможных значения:
- Вкл. – позволяет добавлять завершающую строку нижнего колонтитула в документы, созданные сервером,
- Выкл. – отключает строку нижнего колонтитула и
- EMail – создает ссылку «mailto:»; который отправляет письмо администратору сервера указанного документа.
Серверные токены
Он определяет, содержит ли поле заголовка ответа сервера, которое отправляется обратно клиентам, описание типа ОС сервера и информацию о включенных модулях Apache.
Эта директива имеет следующие возможные значения (плюс пример информации, отправляемой клиентам, когда установлено конкретное значение):
ServerTokens Full (or not specified)
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
Info sent to clients: Server: Apache
ServerTokens Major
Info sent to clients: Server: Apache/2
ServerTokens Minor
Info sent to clients: Server: Apache/2.4
ServerTokens Min[imal]
Info sent to clients: Server: Apache/2.4.2
ServerTokens OS
Info sent to clients: Server: Apache/2.4.2 (Unix)
Примечание. После версии Apache 2.0.44 директива ServerTokens также управляет информацией, предлагаемой ServerSignature.
Рекомендуется к прочтению: 5 советов по повышению производительности веб-сервера Apache
Чтобы скрыть номер версии веб-сервера, сведения об операционной системе сервера, установленные модули Apache и многое другое, откройте файл конфигурации веб-сервера Apache в вашем любимом редакторе:
sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
И добавьте/измените/дополните строки ниже:
ServerTokens Prod
ServerSignature Off
Сохраните файл, выйдите и перезапустите веб-сервер Apache следующим образом:
sudo systemctl restart apache2 #SystemD
sudo service apache2 restart #SysVInit
В этой статье мы объяснили, как скрыть номер версии веб-сервера Apache, а также дополнительную информацию о вашем веб-сервере с помощью определенных директив Apache.
Если вы используете PHP на своем веб-сервере Apache, я предлагаю вам скрыть номер версии PHP.
Как обычно, вы можете добавить свои мысли к этому руководству через раздел комментариев ниже.