Keine Apache Versionsnummern im Header

Apache-LogoAus Sicherheitsgründen sollte der Apache Server seine Versionsnummer und den Codenamen der Linux Version im Html Header nicht preisgeben.

Bei Debian GNU / Linux’s Apache default Einstellungen werden jedoch mit dem Html Header der Apache Name, die Versionsnummer, die Linux Distribution und der Linux Codename ausgegeben. Das ist zwar nur eine kleine Sicherheitslücke, aber manche Security Scanner (Nessus, etc) zeigen dieses Problem auf. Die genauen Versionsdaten können Hacker bei ihrer Tätigkeit unterstützen.

Wie kann ich nun feststellen welche Info mein Server im Header preisgibt:

fred@server:~# telnet servername 80

Trying "serverip" …

Connected to servername.
Escape character is ‘^]’.

HEAD / HTTP/1.0
HTTP/1.1 200 OK
Date: Mon, 05 Aug 2013 17:49:16 GMT

Server: Apache/2.2.16 (Debian) X-Powered-By: PHP/5.3.3-7+squeeze14

Vary: Accept-Encoding
Connection: close
Content-Type: text/html

Natürlich kann man hier auch

fred@server:~# curl servername -I

verwenden.

Um nun die Information zu reduzieren ändern wir die Datei /etc/apache2/conf.d/security:

ServerTokens OS
ServerSignature On

nach

ServerSignature Off
ServerTokens ProductOnly

Apache neu starten und die Gesprächigkeit des Servers testen.

Manfred Brandstetter

Seit 20 Jahren selbständiger IT Berater in Österreich. Im Moment kümmere ich mich am liebsten um Servervirtualisierungen auf Debian Basis und Webprogrammierung nach neuestem Technologiestand.

More Posts - Website

Follow Me:
TwitterFacebookGoogle Plus

You may also like...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.