Apache2 – Signatur deaktivieren

Der Apache2 Webserver gilt ja im allgemeinen als “Sehr gesprächig” .

Dort sind zumal Imformationen wie die Server Version abrufbar.

Da dies als Sicherheitslücke bezeichnet werden kann und Angreifer beispielsweise dadurch einen veralteten Server zugesicht bekommen, kann man dies deaktivieren.

Dies machen wir in der apache2.conf

Wir bearbeiten mit

sudo nano /etc/apache2/apache2.conf

Und fügen folgende Argumente an das Ende der Datei an.

ServerSignature Off
ServerTokens Prod

ServerSignature 

Gibt das Installierte OS sowie die Version zurück.

Mit Off deaktivieren wir das ganze.

ServerTockens Prod

Gibt uns das Produkt und die Version zurück.

Mit dem einfügen der Obigen Zeile deaktivieren wir dies.

 

Somit ist für ausenstehende nicht mehr ersichtlich, welchen Webserver wir verwenden.

Im HTTP Header sieht es dann so aus.

 

> RESPONSE INFO <<
URL: http://localtest.wp.local
Code: 200
Headers:
Date: Sun, 05 Nov 2017 10:15:48 GMT
Server: Apache/2.4.7 (Ubuntu)
Vary: Accept-Encoding
Content-Length: 1533
Connection: close
Content-Type: text/html;charset=UTF-8

Wir sehen die Server Version und OS.

Nach den Änderungen sieht das dann nur noch so aus.

 

> RESPONSE INFO <<
URL: http://localtest.wp.local
Code: 200
Headers:
Date: Sun, 05 Nov 2017 10:17:38 GMT
Server: Apache
Vary: Accept-Encoding
Content-Length: 1533
Connection: close
Content-Type: text/html;charset=UTF-8

Wir sehen das die Serverversion nicht mitgesendet wird.

Ebenso wie das Installierte OS.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.