Kategorien
security

Webserver ruhig stellen

apache.testseite.gifMal zur Abwechslung was Sicherheitsrelevantes. Auf der Suche nach Sicherheitslücken grasen Programme jeden Tag Server im Internet ab, nach ungepatchten Systemen und Diensten. Da wäre es natürlich praktisch wenn zum Beispiel der Webserver seine Versionsnummer nicht jedem der sie haben will preis geben würde. Und dabei ist es ganz einfach dem Apachen die Zunge zu verknoten:

In der Datei ‚apache.conf‘ die Zeile

ServerTokens All

in

ServerTokens Prod umschreiben.

Dann noch schnell den Server neu starten und Apache zeigt anstatt diesem Header:

HTTP/1.1 200 OK
Date: Sun, 19 Aug 2007 18:13:32 GMT
Server: Apache/2.2.3 (Ubuntu) PHP/5.2.1 mod_perl/2.0.2 Perl/v5.8.8
Content-Type: text/html; charset=UTF-8

nur noch diesen hier an:

HTTP/1.1 200 OK
Date: Sun, 19 Aug 2007 18:16:08 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Wie man das ganze auch noch bei PHP erreicht zeigt der Ursprungs-Artikel auf adminday.de. Ausserdem gibt es auf adminlife.net eine Anleitung wie man lighttpd die Geschwätzigkeit austreibt.

Noch mehr Sicherheitstipps für den Apache Webserver gibt es auf securityfocus.com.

Eine Antwort auf „Webserver ruhig stellen“

Bei der Gelegenheit kann man auch gleich ServerSignature auf Off stellen.

ServerSignature: Optionally add a line containing the server version and virtual host name to server-generated pages (internal error documents, FTP directory listings, mod_status and mod_info output etc.,

Kommentare sind geschlossen.