Apache2: Versionsinformationen verstecken

Bei jeder Anfrage an Webseiten wird im sog. Header bei allen Seiten eine zusätzliche Information zur Versionsnummer von Apache und dem Betriebssystem mitgeschickt. Zusätzlich gibt es auch noch eine Statusleiste, die ebenfalls deaktiviert werden kann.

Diese Ausgaben zu verhindern hat nichts mit mehr Sicherheit zu tun, jedoch teilt man so einem Freizeit-Hacker nicht gleich mit, für welche Version Sicherheitslücken gefunden werden können.

1. Versionsnummer von Apache im Header

Der aktuelle Zustand des Servers kann mit dem Firefox Add-on Live HTTP Headers überprüft werden:

Server: Apache/2.2.3 (Debian)

dies entspricht in der Datei /etc/apache2/apache2.conf der Einstellung:

ServerTokens Full

ganz vermeiden lässt sich diese Ausgabe leider nicht, jedoch kann mit der Einstellung

ServerTokens Prod

die Ausgabe aus minimalste reduziert werden. Angezeigt wird nun

Server: Apache

Mir gefällt hingegen die folgende Ausgabe am besten

ServerTokens Minimal

denn so wird nicht zu viel oder zuwenig an Informationen ausgegeben:

Server: Apache/2.2.3

zwischendrin muss man der Webserver natürlich immer wieder seine Konfigurationsdateien neu einlesen lassen, sonst bekommt dieser von der Änderung nichts mit:

apache2ctl graceful

2. Statusleiste von Apache

auf Übersichtsseite, auf welchen der Verzeichnisinhalt aufgelistet wird, steht unten drunter (abhängig von den oberen Einstellungen) folgendes:

Apache/2.2.3 Server at admirableadmin.de Port 80

auch dies lässt sich in der gleichen Datei /etc/apache2/apache2.conf mit

ServerSignature Off

ausstellen.