Eine Standardinstallation von apache ist sowohl unter Debian wie auch CentOS sehr „rede-freudig“.
Bei Fehlermeldungen wird Server, OS und sogar die Versionsnummer gezeigt. Dies kann ein Sicherheitsrisiko darstellen, wenn auch nur ein sehr kleines und lässt sich einfach abschalten.
Dazu müssen in der Server Konfiguration (innerhalb von VirtualHost ist es nicht erlaubt) zwei direktiven geändert werden, ServerSignature und ServerTokens:
ServerSignature Off ServerTokens Prod |
Hinweis: Ab Version 2.0.44 werden die Details der angegebenen Versionsnummer des Servers von der Direktive ServerTokens kontrolliert.
Quelle: apache.org: ServerSignature
