Поиск по сайту:

Как скрыть номер версии Apache и другую конфиденциальную информацию

Когда удаленные запросы отправляются на ваш веб-сервер Apache, по умолчанию некоторая ценная информация, такая как номер версии веб-сервера, сведения об операционной системе сервера, установленные модули Apache и многое другое, отправляется вместе с сгенерированными сервером документами обратно клиенту.

Читайте также: как скрыть версию сервера Nginx в Linux

Это хороший объем информации, позволяющий злоумышленникам использовать уязвимости и получить доступ к вашему веб-серверу. Чтобы не показывать информацию о веб-сервере, в этой статье мы покажем, как скрыть информацию о веб-сервере Apache с помощью определенных директив Apache.

Рекомендуется к прочтению: 13 полезных советов по защите веб-сервера Apache

Две важные директивы:

Подпись сервера

Это позволяет добавлять строку нижнего колонтитула, показывающую имя сервера и номер версии, под документами, сгенерированными сервером, такими как сообщения об ошибках, списки каталогов ftp mod_proxy, выходные данные mod_info и многое другое.

Он имеет три возможных значения:

  1. Вкл. – позволяет добавлять завершающую строку нижнего колонтитула в документы, созданные сервером,
  2. Выкл. – отключает строку нижнего колонтитула и
  3. EMail – создает ссылку «mailto:»; который отправляет письмо администратору сервера указанного документа.
Серверные токены

Он определяет, содержит ли поле заголовка ответа сервера, которое отправляется обратно клиентам, описание типа ОС сервера и информацию о включенных модулях Apache.

Эта директива имеет следующие возможные значения (плюс пример информации, отправляемой клиентам, когда установлено конкретное значение):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix)

Примечание. После версии Apache 2.0.44 директива ServerTokens также управляет информацией, предлагаемой ServerSignature.

Рекомендуется к прочтению: 5 советов по повышению производительности веб-сервера Apache

Чтобы скрыть номер версии веб-сервера, сведения об операционной системе сервера, установленные модули Apache и многое другое, откройте файл конфигурации веб-сервера Apache в вашем любимом редакторе:

sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems

И добавьте/измените/дополните строки ниже:

ServerTokens Prod
ServerSignature Off

Сохраните файл, выйдите и перезапустите веб-сервер Apache следующим образом:

sudo systemctl restart apache2  #SystemD
sudo service apache2 restart     #SysVInit

В этой статье мы объяснили, как скрыть номер версии веб-сервера Apache, а также дополнительную информацию о вашем веб-сервере с помощью определенных директив Apache.

Если вы используете PHP на своем веб-сервере Apache, я предлагаю вам скрыть номер версии PHP.

Как обычно, вы можете добавить свои мысли к этому руководству через раздел комментариев ниже.