Softwareversion von lighttpd nicht mitsenden/ändern

Sofern das DirectoryListing unter lighttpd aktiv ist, wird normal auch die Softwareversion in folgender Weise unter der Dateiauflistung angezeigt: lighttpd/1.4.28.
Um es Einbrechern schwieriger zu machen, sollte man die Softwareversion verstecken.

lighttpd bietet dafür eine Möglichkeit anhand einer Variable in der Konfiguration. Standardmäßig sieht diese so aus:

Quellcode

  1. server.tag = "lighttpd <current-version>"
Oder aber sie ist gar nicht angegeben. Dann wird dieser genannte Wert als Standardwert genutzt.

Man kann diese Variable dann beliebig ändern, z.B. in folgendes:

Quellcode

  1. server.tag = "lighttpd"
Dann wird nur noch "lighttpd" (ohne "") ausgegeben.
Vorteil dabei, dass das eine Variable ist - man kann darin jeglichen Text abspeichern. Somit ist es auch möglich, dem Einbrecher einen vollkommen anderen Webserver vorzugaukeln, z.B. so:

Quellcode

  1. server.tag = "Apache/2.2.21 (Unix) PHP/5.4.0"
Damit wäre es dann ein Apache 2.2.21 mit PHP 5.4.0.

Wirklich erfahrene Einbrecher lassen sich davon zwar nicht abschrecken, für die "Scriptkiddies" reicht es aber oftmals durchaus. ;)


Ich empfehle auf jeden Fall, zumindest die Versionsnummer zu verschleiern bzw. nicht mitzusenden.
Über den Autor
Ich bin Webentwickler in Stuttgart und administriere Server seit vielen Jahren. In diesem Blog erstelle ich hauptsächlich Tutorials für andere Webentwickler, Webdesigner und Serveradministratoren.
-------------------------------------------------------------------------------------------------------------------------------------
I’m a web developer in Stuttgart, Germany, and server administrator since many years. This blog mainly contains a tutorial set for other web developer, web designer and server administrators.

129 mal gelesen

Kommentare 0

Es wurden keine Einträge gefunden.

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen