Webserver ruhig stellen
Mal zur Abwechslung was Sicherheitsrelevantes. Auf der Suche nach Sicherheitslücken grasen Programme jeden Tag Server im Internet ab, nach ungepatchten Systemen und Diensten. Da wäre es natürlich praktisch wenn zum Beispiel der Webserver seine Versionsnummer nicht jedem der sie haben will preis geben würde. Und dabei ist es ganz einfach dem Apachen die Zunge zu verknoten:
In der Datei 'apache.conf' die Zeile
ServerTokens All
in
ServerTokens Prod umschreiben.
Dann noch schnell den Server neu starten und Apache zeigt anstatt diesem Header:
HTTP/1.1 200 OK
Date: Sun, 19 Aug 2007 18:13:32 GMT
Server: Apache/2.2.3 (Ubuntu) PHP/5.2.1 mod_perl/2.0.2 Perl/v5.8.8
Content-Type: text/html; charset=UTF-8
nur noch diesen hier an:
HTTP/1.1 200 OK
Date: Sun, 19 Aug 2007 18:16:08 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8
Wie man das ganze auch noch bei PHP erreicht zeigt der Ursprungs-Artikel auf adminday.de. Ausserdem gibt es auf adminlife.net eine Anleitung wie man lighttpd die Geschwätzigkeit austreibt.
Noch mehr Sicherheitstipps für den Apache Webserver gibt es auf securityfocus.com.
Mal zur Abwechslung was Sicherheitsrelevantes. Auf der Suche nach Sicherheitslücken grasen Programme jeden Tag Server im Internet ab, nach ungepatchten Systemen und Diensten. Da wäre es natürlich praktisch wenn zum Beispiel der Webserver seine Versionsnummer nicht jedem der sie haben will preis geben würde. Und dabei ist es ganz einfach dem Apachen die Zunge zu verknoten:
In der Datei 'apache.conf' die Zeile
ServerTokens All
in
ServerTokens Prod umschreiben.
Dann noch schnell den Server neu starten und Apache zeigt anstatt diesem Header:
HTTP/1.1 200 OK
Date: Sun, 19 Aug 2007 18:13:32 GMT
Server: Apache/2.2.3 (Ubuntu) PHP/5.2.1 mod_perl/2.0.2 Perl/v5.8.8
Content-Type: text/html; charset=UTF-8
nur noch diesen hier an:
HTTP/1.1 200 OK
Date: Sun, 19 Aug 2007 18:16:08 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8
Wie man das ganze auch noch bei PHP erreicht zeigt der Ursprungs-Artikel auf adminday.de. Ausserdem gibt es auf adminlife.net eine Anleitung wie man lighttpd die Geschwätzigkei
Tags: apache, php, security
Dieser Eintrag wurde am
19.08.2007 um 20:39 verfasst
und wurde abgelegt unter security.
Du kannst den Kommentaren über den RSS 2.0 Feed folgen.
Du kannst einen Kommentar hinterlassen, oder einen Trackback von deinem Blog schicken.
Mal zur Abwechslung was Sicherheitsrelevantes. Auf der Suche nach Sicherheitslücken grasen Programme jeden Tag Server im Internet ab, nach ungepatchten Systemen und Diensten. Da wäre es natürlich praktisch wenn zum Beispiel der Webserver seine Versionsnummer nicht jedem der sie haben will preis geben würde. Und dabei ist es ganz einfach dem Apachen die Zunge zu verknoten:
26.08.2007 um 12:40
Bei der Gelegenheit kann man auch gleich ServerSignature auf Off stellen.
ServerSignature: Optionally add a line containing the server version and virtual host name to server-generated pages (internal error documents, FTP directory listings, mod_status and mod_info output etc.,