Sicherlich kennen es viele: Eine Datei ist auf dem Webserver nicht vorhanden oder man kann Verzeichnisse direkt aufrufen, schon erhält man umfangreiche Informationen zu der eingesetzten Server-Software.
Im Falle vom Apache-Webserver sieht diese z. B. so aus:
Apache/2.2.17 (Win32) PHP/5.3.5 Server at localhost Port 80
Damit erhalten Angreifer schon umfangreiche Informationen über das System, nämlich die Versionsangaben und die eingesetzten Technologien, hier Apache2 und PHP 5. Je nach installierten Modulen können noch weitere Angaben aufgelistet sein. Diese Angaben helfen jedoch dem Angreifer, gezielt Sicherheitslücken in diesen Versionen der Software auszunutzen. Daher sollte man diese Angaben abschalten.
Im Grunde lässt sich das mit einer Zeile in der Apache-Konfiguration deaktivieren, dafür gibt es nämlich die Option ServerSignature
. Dabei gibt es hier drei Einstellungsmöglichkeiten: On | Off | EMail
.
Wer die genaue Bedeutung wissen möchte, schaut sich bitte die offizielle Dokumentation an.
Im Grunde ist nun schon die Einstellung fertig. Mit nur einer Zeile kann man damit die Versionsangaben in Apache2 unterbinden:
ServerSignature Off
Wer dennoch gerne etwas stehen lassen möchte, kann ServerSignature
auf On
stellen und dann mit der Option ServerTokens
arbeiten. Hierbei lassen sich verschiedene Angaben manuell deaktivieren.
Welche genau das sind, kann man in der offiziellen Dokumentation nachlesen.
Nicht vergessen, nach der Änderung der Apache-Konfiguration den Webserver neu zu starten.