Senden von Versionsangaben im Apache Webserver unterbinden

Sicherlich kennen es viele: Eine Datei ist auf dem Webserver nicht vorhanden oder man kann Verzeichnisse direkt aufrufen, schon erhält man umfangreiche Informationen zu der eingesetzten Server-Software.

Im Falle vom Apache-Webserver sieht diese z. B. so aus:

Apache/2.2.17 (Win32) PHP/5.3.5 Server at localhost Port 80

Damit erhalten Angreifer schon umfangreiche Informationen über das System, den Webserver und der eingesetzten PHP-Version. Hier können, je nach installierten Modulen, noch weitere Angaben stehen. Diese Angaben helfen jedoch dem Angreifer, gezielt Sicherheitslücken in diesen Versionen der Software auszunutzen. Daher sollte man diese Angaben abschalten.

Im Grunde lässt sich das mit einer Zeile in der Apache-Konfiguration deaktivieren, dafür gibt es nämlich die Option ServerSignature. Dabei gibt es hier drei Einstellungsmöglichkeiten: On | Off | EMail.
Wer die genaue Bedeutung wissen möchte, schaut sich bitte die offizielle Dokumentation an.

Im Grunde ist nun schon die Einstellung fertig, mit nur einer Zeile:

ServerSignature Off

Wer dennoch gerne etwas stehen lassen möchte, kann ServerSignature auf On stellen und dann mit der Option ServerTokens arbeiten. Hierbei lassen sich verschiedene Angaben manuell deaktivieren.
Welche genau das sind, kann man in der offiziellen Dokumentation nachlesen.

Nicht vergessen, nach der Änderung der Apache-Konfiguration den Webserver neu zu starten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.