Linux: Apache 2 Direktive – Version und Header-Daten anpassen

Bei der Standardkonfiguration (default) des Apache 2, werden die Versionsnummer von Apache, der Linux-Distribution und der eingesetzten Module (Apache/2.0.52 (Unix) mod_perl/1.99_13 Perl/v5.8.3 PHP/5.0.1, ...) mitgesendet. Um seinen Server in weiteren Sicherheitskriterien abzusichern, ist es von Vorteil, wenn die Versionsnummern und Module nicht als Header-Information mitgesendet werden. Für Hacker ist es ansonsten ein leichtes Spiel, anhand der Versionsnummer die bekannten Sicherheitslücken (Security-Bugs) auszunutzen und sich Zugang zum Server zu beschaffen. Sicherlich ist die Abschaltung der "Versionsnummern" und "Module" kein Wundermittel, sondern es soll lediglich Hackern erschweren, direkte Angriffe auf den Server und Apache durchzuführen.

Um die Apache 2 Header-Informationen nur auf den eingesetzten Parser ohne Versionsnummer, etc. einzugrenzen, lässt sich in der "/etc/apache2/apache2.conf" die Zeile mit der Direktive "ServerTokens Prod" hinzufügen.

Die Apache-Direktive ServerTokens legt fest, wie ausführlich der Apache-Webserver die Versionsdaten im HTTP-Header (HTTP-Headerdata) übermittelt.
Folgende Werte sind definiert:
"Prod": Nur Programmname: Apache
"Major": Hauptversionsnummer - Apache/2.
"Minor": Haupt- und Unterversionsnummer - Apache/2.0.
"Min": Hauptversions-, Unterversions- und Releasenummer - Apache/2.0.52.
"OS": Versionsnummer wie bei Min, zusätzlich wird die Systemplattform übermittelt. - Apache/2.2.xx (Debian).
"Full": Versionsnummer, Betriebssystem und Versionsdaten der verwendeten Zusatzmodule. - Apache/2.2.xx (Debian) mod_perl/2.xx_xx Perl/v6.x.x PHP/5.3.6

Tags: , , , , , , ,

Hinterlasse eine Nachricht