www.bimminger.at

Tipps / Internet / Apache

Apache

Apache/PHP Server Signatur auf Minimum reduzieren


Für alle die sich für HTTP-Header interessieren, ist es auf jeden Fall interessant die entdeckten Header zu verändern. Bei einer LAMP-Standard-Installation findet man oft viel zu detaillierte Informationen im Header. Ich denke es ist für den Client nicht unbedingt von Bedeutung, dass der volle Web-Server seine Softwareversion preisgibt. Darum hier zwei kurze Tipps wie man die Signatur von:

Apache/2.0.47 (Unix) DAV/2 PHP/4.3.3
X-Powered-By: PHP/4.3.3

auf

Apache/2

reduziert. Mit dieser Vorgehensweise kann man die Verwendung von Modulen etwas leichter verschleiern. In Kombination mit mod_rewrite kann man hier sogar noch mehr Verwirrung hervorrufen ;-)


Apache - Version und Module ausblenden


Zuerst sollte man einfach in der httpd.conf die Apache Signatur auf ein Minimum reduzieren. Dazu einfach folgenden Eintrag setzen.

ServerTokens Major

Sollte der Eintrag ServerTokens schon existieren, einfach von Full auf Major ändern. Damit wird nur noch der Name Apache und die grobe Version 2 ausgegeben.


PHP - X-Powered-By ausblenden


Das Ändern der Apachesignatur bietet zwar die Möglichkeit eventuell laufende Module wie PHP nicht anzuzeigen, aber der Parser selbst gibt auch noch die Zeile X-Powered-By: PHP/4.3.3 aus. Diese Zeile kann man via php.ini ausblenden. Dort einfach folgende Zeile einfügen bzw. ändern:

expose_php = off

Fazit


Das hier soll kein Garant für mehr Sicherheit sein, aber wenn zu bestimmten Versionen neue Sicherheitslücken auftauchen, so muss man auf so modifizierten Servern zuerst probieren. Bei Servern wo die komplette Info aufscheint erfährt man schon beim Zugriff ob eine gezielte Attacke durchführbar ist. Natürlich ist ein regelmäßiges Updaten der verwendeten Serverdienste empfehlenswert ;-)


Serversignatur Apache 2

Erklärung in der Apache 2 Online-Dokumentation.


Hinweise auf php.net

Information zum Thema in der Online-Dokumentation zu PHP.



Information auf Netcraft

Auf den Netcraft Seiten kann man auch ältere Serverstrings bzw. eventuell gefährdete Server ausfindig machen.




Um einen Diskussionsbeitrag zu posten müssen Sie eingeloggt sein.