Archiv » Apache & Webserver » Apache2 Signatur mit Modulen...

Apache2 Signatur mit Modulen verbergen

Standardmäßig ist bei dem Apache2 die Einstellung (Direktive) aktiv, dass die geladenen Apache2-Module bei einer Fehlerseite 404 oder 403 als Footer mit ausgegeben werden. Da dies eine potentielle Sicherheitslücke darstellt, sollte bei jedem Webserver mit einem Apache2 die "ServerSignature" abgeschaltet werden, sodass potentielle Hacker weniger Angriffsfläche erhalten und somit nicht sehen, welche Module bei dem Apache2 geladen wurden. Typische Ausgaben bei der "ServerSignature" sind z.B. folgende: "Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 PHP/5.2.6-1+lenny9 with Suhosin-Patch mod_ruby/1.2.6 Ruby/1.8.7(2008-08-11) mod_ssl/2.2.9 OpenSSL/0.9.8g Server at domain.tld Port 80" Des Weiteren lässt sich die Direktive auch über die Einstellung "ServerTokens" eingrenzen.
#Apache2-Konfigurationsdatei (bei Debian):
/etc/apache2/httpd.conf

#ServerSignature (On|Off)
ServerSignature Off

####################################
########## SERVERTOKENS ############
####################################

#ServerTokens bestimmt die Ausgabe der gewünschten Informationen
ServerTokens Prod[uctOnly]
//Server: Apache

ServerTokens Major
//Server: Apache/2

ServerTokens Minor
//Server: Apache/2.0

ServerTokens Min[imal]
//Server: Apache/2.2.9

ServerTokens OS
//Server: Apache/2.2.9 (Debian)

ServerTokens Full
//Server: Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 PHP/5.2.6-1+lenny9 [...] Server
//at domain.tld Port 80