Apache sehr extravertiert – Signatur verbergen und Token anpassen
Oktober 25th, 2007 13:40 Uhr von 
Ronald
Der Apache-Webserver ist nach der Standardinstallation eine kleine Plaudertasche. Nicht nur, dass der Apache ansich in den Header-Einträgen gerne erzählt wer er ist, welche Version er hat und was er noch so an Modulen installiert hat, er hängt das ganze auch gern als “Signatur” an Fehlerdokumente, Verzeichnislisten und einige andere Seiten. Nachdem ich schon gezeigt habe wie man PHP zum Schweigen bringt, kommt hier nun die Erklärung für den Apache.
Um ihm diesen Kappes auszutreiben, gibt es zwei wichtige Konfigurationsvariablen, i.d.R. in der apache2.conf zu finden. Falls sie dort nicht sind, kann man sie problemlos von Hand ergänzen.
ServerTokens
Diese Variable kennt verschiedene Einstellungsmöglichkeiten, z.B. “Prod“, “Min” oder “Full“.Beispiel “Prod”: Apache
Beispiel “Full”: Apache/2.2.3 (Debian) mod_fastcgi/2.4.2 mod_ssl/2.2.3 OpenSSL/0.9.8cDefault: Full
ServerSignature
Diese Einstellungsmöglichkeit kennt drei verschiedene Zustände, wichtig sind “On” und “Off“.Default: On
Mit den Einstellungen ServerTokens Prod und ServerSignature Off und einem anschließenden Neustarten des Apaches kann man ihn nun endlich den Mund verbieten.
Offizielle Dokumentation: http://httpd.apache.org/docs/2.2/de/mod/core.html
Geschrieben in PHP | 
Keine Kommentare »