Senden von Versionsangaben in Apache2 unterbinden

Sicherlich kennen es viele: Eine Datei ist auf dem Webserver nicht vorhanden oder man kann Verzeichnisse direkt aufrufen, schon erhält man umfangreiche Informationen zu der eingesetzten Server-Software.

Im Falle vom Apache-Webserver sieht diese z. B. so aus:

Apache/2.2.17 (Win32) PHP/5.3.5 Server at localhost Port 80

Damit erhalten Angreifer schon umfangreiche Informationen über das System, nämlich die Versionsangaben und die eingesetzten Technologien, hier Apache2 und PHP 5. Je nach installierten Modulen können noch weitere Angaben aufgelistet sein. Diese Angaben helfen jedoch dem Angreifer, gezielt Sicherheitslücken in diesen Versionen der Software auszunutzen. Daher sollte man diese Angaben abschalten.

Im Grunde lässt sich das mit einer Zeile in der Apache-Konfiguration deaktivieren, dafür gibt es nämlich die Option ServerSignature. Dabei gibt es hier drei Einstellungsmöglichkeiten: On | Off | EMail.
Wer die genaue Bedeutung wissen möchte, schaut sich bitte die offizielle Dokumentation an.

Im Grunde ist nun schon die Einstellung fertig. Mit nur einer Zeile kann man damit die Versionsangaben in Apache2 unterbinden:

ServerSignature Off

Wer dennoch gerne etwas stehen lassen möchte, kann ServerSignature auf On stellen und dann mit der Option ServerTokens arbeiten. Hierbei lassen sich verschiedene Angaben manuell deaktivieren.
Welche genau das sind, kann man in der offiziellen Dokumentation nachlesen.

Apache/2.2.17 (Win32) PHP/5.3.5 Server at localhost Port 80
Apache/2.2 Server at localhost Port 80

Nicht vergessen, nach der Änderung der Apache-Konfiguration den Webserver neu zu starten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert