Ricerca nel sito web

Come nascondere il numero di versione di Apache e altre informazioni sensibili

Quando le richieste remote vengono inviate al tuo server web Apache, per impostazione predefinita, alcune informazioni preziose come il numero di versione del server web, i dettagli del sistema operativo del server, i moduli Apache installati e altro ancora, vengono inviate al client in documenti generati dal server.

Leggi anche: Come nascondere la versione del server Nginx in Linux

Si tratta di una grande quantità di informazioni che gli aggressori possono sfruttare per sfruttare le vulnerabilità e ottenere l'accesso al tuo server web. Per evitare di mostrare le informazioni del Web Server, mostreremo in questo articolo come nascondere le informazioni del Web Server Apache utilizzando particolari direttive Apache.

Lettura consigliata: 13 consigli utili per proteggere il tuo server Web Apache

Le due direttive importanti sono:

ServerSignature

Ciò consente l'aggiunta di una riga a piè di pagina che mostra il nome del server e il numero di versione sotto i documenti generati dal server come messaggi di errore, elenchi di directory ftp mod_proxy, output mod_info e molto altro.

Ha tre valori possibili:

  1. On: consente l'aggiunta di una riga a piè di pagina finale nei documenti generati dal server,
  2. Off: disabilita la riga a piè di pagina e
  3. EMail – crea un riferimento "mailto:"; che invia una mail al ServerAdmin del documento referenziato.
ServerToken

Determina se il campo dell'intestazione della risposta del server che viene inviato ai client contiene una descrizione del tipo di sistema operativo del server e informazioni relative ai moduli Apache abilitati.

Questa direttiva ha i seguenti valori possibili (più informazioni di esempio inviate ai client quando viene impostato il valore specifico):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix)

Nota: dopo la versione 2.0.44 di Apache, la direttiva ServerTokens controlla anche le informazioni offerte dal ServerSignature.

Lettura consigliata: 5 suggerimenti per migliorare le prestazioni del server Web Apache

Per nascondere il numero di versione del server web, i dettagli del sistema operativo del server, i moduli Apache installati e altro, apri il file di configurazione del server web Apache utilizzando il tuo editor preferito:

sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems

E aggiungi/modifica/aggiungi le righe seguenti:

ServerTokens Prod
ServerSignature Off

Salva il file, esci e riavvia il tuo server web Apache in questo modo:

sudo systemctl restart apache2  #SystemD
sudo service apache2 restart     #SysVInit

In questo articolo, abbiamo spiegato come nascondere il numero di versione del server web Apache e molte altre informazioni sul tuo server web utilizzando determinate direttive Apache.

Se stai utilizzando PHP sul tuo server web Apache, ti suggerisco di nascondere il numero di versione di PHP.

Come al solito, puoi aggiungere i tuoi pensieri a questa guida tramite la sezione commenti qui sotto.