Comment masquer le numéro de version Apache et d'autres informations sensibles
- 1522
- 262
- Emilie Colin
Lorsque les demandes à distance sont envoyées à votre serveur Web Apache, par défaut, certaines informations précieuses telles que le numéro de version du serveur Web, les détails du système d'exploitation du serveur, les modules Apache installés plus, sont envoyés dans des documents générés par le serveur au client.
Lire aussi: Comment masquer la version du serveur Nginx dans Linux
Il s'agit d'une grande information pour que les attaquants exploitent les vulnérabilités et accédez à votre serveur Web. Pour éviter d'afficher des informations sur le Web Sever, nous montrerons dans cet article comment masquer les informations du serveur Web Apache à l'aide de directives Apache particulières.
Lire suggérée: 13 conseils utiles pour sécuriser votre serveur Web Apache
Les deux directives importantes sont:
Signature de serveurs
Qui permet l'ajout d'une ligne de pied de page affichant le nom du serveur et le numéro de version sous des documents générés par le serveur tels que les messages d'erreur, les listes de répertoires MOD_PROXY FTP, la sortie Mod_info et beaucoup plus.
Il a trois valeurs possibles:
- Sur - qui permet l'ajout d'une ligne de pied de page traînante dans des documents générés par le serveur,
- Désactivé - désactive la ligne de pied de page et
- E-mail - Crée un «mailto:" référence; qui envoie un courrier au serveradmin du document référencé.
Servertokens
Il détermine si le champ d'en-tête de réponse du serveur qui est renvoyé aux clients contient une description du type OS du serveur et des informations concernant les modules Apache activés.
Cette directive a les valeurs possibles suivantes (plus les exemples d'informations envoyées aux clients lorsque la valeur spécifique est définie):
Informations SERVERTOKENS FULL (ou non spécifiées) envoyées aux clients: serveur: Apache / 2.4.2 (UNIX) PHP / 4.2.2 Mymod / 1.2 SERVERTOKENS Prod [Uctonly] Informations envoyées aux clients: serveur: Apache SERVERTOKENS INFORMATIONS PRINCIPALES ENTRAITES AUX CLIENTS: Server: APACHE / 2 SERVERTOKENS INFORIPTIONS MINEUR AVOIR aux clients: serveur: Apache / 2.4 SERVERTOKENS MIN [IMAL] Informations envoyées aux clients: serveur: Apache / 2.4.2 SERVERTOKENS INFORMATIONS OS ENTRAITE AUX CLIENTS: Serveur: Apache / 2.4.2 (Unix)
Note: After Apache Version 2.0.44, le Servertokens La directive contrôle également les informations offertes par le Signature de serveurs directif.
Lire suggérée: 5 conseils pour augmenter les performances du serveur Web Apache
Pour masquer le numéro de version du serveur Web, les détails du système d'exploitation du serveur, installé des modules Apache et plus, ouvrez votre fichier de configuration de serveur Web Apache à l'aide de votre éditeur préféré:
$ sudo vi / etc / apache2 / apache2.Conf # Debian / Ubuntu Systems $ sudo vi / etc / httpd / conf / httpd.Systèmes Conf # Rhel / Centos
Et ajouter / modifier / ajouter les lignes ci-dessous:
SERVERTOKENS PROD SERVERSIGNATURE
Enregistrez le fichier, quittez et redémarrez votre serveur Web Apache comme tel:
$ sudo systemctl redémarrer apache2 #Systemd $ sudo service apache2 redémarrer #SysVinit
Dans cet article, nous avons expliqué comment masquer le numéro de version du serveur Web Apache plus beaucoup d'informations sur votre serveur Web en utilisant certaines directives Apache.
Si vous exécutez PHP dans votre serveur Web Apache, je vous suggère de masquer le numéro de version PHP.
Comme d'habitude, vous pouvez ajouter vos réflexions à ce guide via la section des commentaires ci-dessous.
- « Installez le cache de vernis 5.2 pour Apache sur Debian et Ubuntu
- Comment trouver la version postfix du serveur de messagerie dans Linux »