apache: Server string verstecken

Eine Standardinstallation von apache ist sowohl unter Debian wie auch CentOS sehr „rede-freudig“.
Bei Fehlermeldungen wird Server, OS und sogar die Versionsnummer gezeigt. Dies kann ein Sicherheitsrisiko darstellen, wenn auch nur ein sehr kleines und lässt sich einfach abschalten.

Dazu müssen in der Server Konfiguration (innerhalb von VirtualHost ist es nicht erlaubt) zwei direktiven geändert werden, ServerSignature und ServerTokens:

ServerSignature   Off
ServerTokens      Prod

Hinweis: Ab Version 2.0.44 werden die Details der angegebenen Versionsnummer des Servers von der Direktive ServerTokens kontrolliert.

Quelle: apache.org: ServerSignature

Published by

Steven Varco

Steven ist ein Redhat RHCE-Zertifizierter Linux-Crack und ist seit über 15 Jahren sowohl beruflich wie auch privat auf Linux spezialisiert. In seinem Keller steht ein Server Rack mit diversen ESX und Linux Servern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.