Normalerweise schickt Apache im HTTP-Header einige Informationen mit, wie beispielsweise die Server-Version. Angreifer könnten diese Informationen für Angriffe ausnutzen – diese Infos lassen sich glücklicherweise recht einfach ausblenden. :)
- security.conf anpassen:
$ sudo vim /etc/apache2/conf-enabled/security.conf
In dieser müssen folgende 2 Optionen geändert werden:
ServerTokens OS zu ServerTokens Prod
ServerSignature On zu ServerSignature Off
Nach einem Neustart von Apache sind die neuen Einstellungen wirksam.
$ sudo service apache2 restart
* Restarting web server apache2 [ OK ]
Ausgabe von curl -I http://IP:
Davor:
HTTP/1.1 200 OK
Date: Wed, 23 Dec 2015 19:46:40 GMT
Server: Apache/2.4.7 (Ubuntu)
Last-Modified: Mon, 21 Dec 2015 16:08:03 GMT
ETag: “2cf6-5276ab1a28265”
Accept-Ranges: bytes
Content-Length: 11510
Vary: Accept-Encoding
Content-Type: text/html
Danach:
HTTP/1.1 200 OK
Date: Wed, 23 Dec 2015 19:47:00 GMT
Server: Apache
Last-Modified: Mon, 21 Dec 2015 16:08:03 GMT
ETag: “2cf6-5276ab1a28265”
Accept-Ranges: bytes
Content-Length: 11510
Vary: Accept-Encoding
Content-Type: text/html