Überspringen und zum Inhalt gehen →

Ubuntu: Apache-Informationen “verstecken”

Normalerweise schickt Apache im HTTP-Header einige Informationen mit, wie beispielsweise die Server-Version. Angreifer könnten diese Informationen für Angriffe ausnutzen – diese Infos lassen sich glücklicherweise recht einfach ausblenden. 🙂

  1. security.conf anpassen:

$ sudo vim /etc/apache2/conf-enabled/security.conf

In dieser müssen folgende 2 Optionen geändert werden:
ServerTokens OS zu ServerTokens Prod
ServerSignature On zu ServerSignature Off

Nach einem Neustart von Apache sind die neuen Einstellungen wirksam.

$ sudo service apache2 restart
* Restarting web server apache2                                                      [ OK ]

Ausgabe von curl -I http://IP:

Davor:

HTTP/1.1 200 OK
Date: Wed, 23 Dec 2015 19:46:40 GMT
Server: Apache/2.4.7 (Ubuntu)
Last-Modified: Mon, 21 Dec 2015 16:08:03 GMT
ETag: “2cf6-5276ab1a28265”
Accept-Ranges: bytes
Content-Length: 11510
Vary: Accept-Encoding
Content-Type: text/html

Danach:

HTTP/1.1 200 OK
Date: Wed, 23 Dec 2015 19:47:00 GMT
Server: Apache
Last-Modified: Mon, 21 Dec 2015 16:08:03 GMT
ETag: “2cf6-5276ab1a28265”
Accept-Ranges: bytes
Content-Length: 11510
Vary: Accept-Encoding
Content-Type: text/html

Published in Linux Tipps & Tricks

Comments

    Möchtest Du dazu etwas sagen?