Okt 25 2007
Apache sehr extravertiert – Signatur verbergen und Token anpassen
Der Apache-Webserver ist nach der Standardinstallation eine kleine Plaudertasche. Nicht nur, dass der Apache ansich in den Header-Einträgen gerne erzählt wer er ist, welche Version er hat und was er noch so an Modulen installiert hat, er hängt das ganze auch gern als “Signatur” an Fehlerdokumente, Verzeichnislisten und einige andere Seiten. Nachdem ich schon gezeigt habe wie man PHP zum Schweigen bringt, kommt hier nun die Erklärung für den Apache.
Um ihm diesen Kappes auszutreiben, gibt es zwei wichtige Konfigurationsvariablen, i.d.R. in der apache2.conf zu finden. Falls sie dort nicht sind, kann man sie problemlos von Hand ergänzen.
ServerTokens
Diese Variable kennt verschiedene Einstellungsmöglichkeiten, z.B. “Prod“, “Min” oder “Full“.Beispiel “Prod”: Apache
Beispiel “Full”: Apache/2.2.3 (Debian) mod_fastcgi/2.4.2 mod_ssl/2.2.3 OpenSSL/0.9.8cDefault: Full
ServerSignature
Diese Einstellungsmöglichkeit kennt drei verschiedene Zustände, wichtig sind “On” und “Off“.Default: On
Mit den Einstellungen ServerTokens Prod und ServerSignature Off und einem anschließenden Neustarten des Apaches kann man ihn nun endlich den Mund verbieten.
Offizielle Dokumentation: http://httpd.apache.org/docs/2.2/de/mod/core.html
September 6th, 2011 at 14:40
[...] vom 06.11.2011: Da es in die gleiche Richtung geht, hier der Hinweis, dass ich in XXX dem Artikel beschrieben beschrieben habe, wie man dem Apache sein von Haus aus sehr gesprächige [...]