ServerSignature von Apache deaktivieren

ServerSignature von Apache deaktivieren

Apache stellt in seiner Standardkonfiguration immer seine volle Signatur bereit.
Wie hier z.B. auf einer “404 Not Found” Seite:
ServerSignature

Die Informationen die Apache hier abstellt reichen, um gezielt nach Sicherheitslöchern zu scannen.
Mit etwas Pech lacht irgendwann eine weiße Seite mit einem “You´re hacked by Kr455l0rd” entgegen.

Um es den “bösen” Jungs etwas schwieriger zu machen sind folgende Modifikation an der Apache Konfiguration zu erledigen:

Ausschalten der Apache “ServerSignature”

Ich gehe hier von einem Debian Squeeze System mit Apache 2.2.x aus.

Öffnet die Apache Security Konfig

1
vi /etc/apache2/conf.d/security

Hier sucht ihr nach dem eintrag “ServerSignature” und stellt diesen auf “Off”
Danach widmen wir uns dem Eintrag “ServerTokens”

Bei ServerTokens können folgende Optionen eingestellt werden:

  • Prod (Server: Apache)
  • Min (Server: Apache/2.2.0)
  • OS (Server: Apache/2.2.0 (Unix))
  • Full (Apache/2.2.0 (Unix) PHP/5.0)

Stellt hier auf “Prod” um möglichst wenig Informationen über euer System Preis zu geben.

Ausschalten der Mitteilungsbedürftigkeit von PHP

Öffnet eure “php.ini” und sucht nach dem Eintrag “expose_php” und stellt diesen auf “Off”

Jetzt müsst ihr nur noch Apache einmal durch starten.
Um offene Connections nicht zu schließen folgendes ausführen:

1
apachectl graceful

Damit wird Apache angewiesen nur Prozesse neuzustarten die gerade nicht benutzt werden.

Und der “harte” weg:

1
/etc/init.d/apache2 restart

Damit sind nun endgültig die Apache ServerSignature entschärft und ihr ein kleines bisschen sicherer.


wallpaper-1019588
Thomann Angebote zum 70-jährigen Jubiläum
wallpaper-1019588
[Comic] Saga [11]
wallpaper-1019588
CHILDEATH: Action-Reihe findet ihr Ende
wallpaper-1019588
Chongqing: Megacity am Jangtse