Apache stellt in seiner Standardkonfiguration immer seine volle Signatur bereit.
Wie hier z.B. auf einer “404 Not Found” Seite:
Die Informationen die Apache hier abstellt reichen, um gezielt nach Sicherheitslöchern zu scannen.
Mit etwas Pech lacht irgendwann eine weiße Seite mit einem “You´re hacked by Kr455l0rd” entgegen.
Um es den “bösen” Jungs etwas schwieriger zu machen sind folgende Modifikation an der Apache Konfiguration zu erledigen:
Ausschalten der Apache “ServerSignature”
Ich gehe hier von einem Debian Squeeze System mit Apache 2.2.x aus.
Öffnet die Apache Security Konfig
1
vi /etc/apache2/conf.d/security
Hier sucht ihr nach dem eintrag “ServerSignature” und stellt diesen auf “Off”
Danach widmen wir uns dem Eintrag “ServerTokens”
Bei ServerTokens können folgende Optionen eingestellt werden:
- Prod (Server: Apache)
- Min (Server: Apache/2.2.0)
- OS (Server: Apache/2.2.0 (Unix))
- Full (Apache/2.2.0 (Unix) PHP/5.0)
Stellt hier auf “Prod” um möglichst wenig Informationen über euer System Preis zu geben.
Ausschalten der Mitteilungsbedürftigkeit von PHP
Öffnet eure “php.ini” und sucht nach dem Eintrag “expose_php” und stellt diesen auf “Off”
Jetzt müsst ihr nur noch Apache einmal durch starten.
Um offene Connections nicht zu schließen folgendes ausführen:
1
apachectl graceful
Damit wird Apache angewiesen nur Prozesse neuzustarten die gerade nicht benutzt werden.
Und der “harte” weg:
1
/etc/init.d/apache2 restart
Damit sind nun endgültig die Apache ServerSignature entschärft und ihr ein kleines bisschen sicherer.