Коллеги всем привет.
В этой статье мы поговорим о том как скрыть версию веб сервера Apache в HTTP заголовках.
В тот момент когда пользователь отправляет запрос на ваш веб сервер Apache, то в ответ Apache в HTTP заголовках отправляет пользователю некую конфиденциальную информацию такую как номер версии веб-сервера Apache, короткие сведения об операционной системе сервера, установленных модулях Apache и т.д. Отображение версии Apache в HTTP заголовке несет за собой угрозу безопасности вашего сайта. Этой информации может вполне быть достаточно для злоумышленников, чтобы использовать уязвимости и получить доступ к вашему веб серверу Apache.
Чтобы уменьшить вероятной взлома вашего веб сервера и уменьшить атаки на ваш сайт, то эту информацию необходимо скрыть, чтобы лишить злоумышленника информации о версии вашего веб сервера, и о платформе в целом.
По умолчанию пользователю веб сервер Apache отправляет номер версии Apache, и короткие сведения об операционной системе сервера.
Как видим из примера Apache отправляет заголовок под именем Server из конфиденциальной информацией. В этой информации находится версия нашего веб сервера и имя операционной системы.
Чтобы скрыть номер версии веб-сервера и сведения об операционной системе сервера, то вам нужно добавить две директивы в конфигурационный файл веб сервера Apache. Директивы называются ServerTokens и ServerSignature.
- ServerSignature это директива, которая позволяет добавить строку нижнего колонтитула, отображающую имя сервера и номер версии веб сервера.
- ServerTokens это директива которая тоже отвечает за показ номер версии веб сервера.
Открываем конфигурационный файл веб сервера Apache.
Debian/Ubuntu
$. sudo vi /etc/apache2/apache2.conf
RHEL/CentOS
$. sudo vi /etc/httpd/conf/httpd.conf
В конфигурационный файл нужно добавить эти две директивы.
ServerTokens Prod
ServerSignature Off
После того как мы добавили директивы то теперь нам нужно перезапустить веб сервер Apache, используя следующую команду:
Debian/Ubuntu
$. sudo service apache2 restart
RHEL/CentOS
$. sudo service httpd restart
Перезапускам браузер и проверяем.
Как видим теперь параметр Server не содержит никакой конфиденциальной информации которая может помочь злоумышленнику навредить вашему сайту.
Всем спасибо, я надеюсь что вам моя статья хоть чем-то помогла.
