Aus Sicherheitsgründen sollte der Apache Server seine Versionsnummer und den Codenamen der Linux Version im Html Header nicht preisgeben.
Bei Debian GNU / Linux’s Apache default Einstellungen werden jedoch mit dem Html Header der Apache Name, die Versionsnummer, die Linux Distribution und der Linux Codename ausgegeben. Das ist zwar nur eine kleine Sicherheitslücke, aber manche Security Scanner (Nessus, etc) zeigen dieses Problem auf. Die genauen Versionsdaten können Hacker bei ihrer Tätigkeit unterstützen.
Wie kann ich nun feststellen welche Info mein Server im Header preisgibt:
fred@server:~# telnet servername 80 Trying "serverip" … Connected to servername. Escape character is ‘^]’. HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: Mon, 05 Aug 2013 17:49:16 GMT Server: Apache/2.2.16 (Debian) X-Powered-By: PHP/5.3.3-7+squeeze14 Vary: Accept-Encoding Connection: close Content-Type: text/html
Natürlich kann man hier auch
fred@server:~# curl servername -I
verwenden.
Um nun die Information zu reduzieren ändern wir die Datei /etc/apache2/conf.d/security:
ServerTokens OS ServerSignature On
nach
ServerSignature Off ServerTokens ProductOnly
Apache neu starten und die Gesprächigkeit des Servers testen.
Manfred Brandstetter
Seit 20 Jahren selbständiger IT Berater in Österreich. Im Moment kümmere ich mich am liebsten um Servervirtualisierungen auf Debian Basis und Webprogrammierung nach neuestem Technologiestand.
Follow Me:
