Как скрыть версию Apache в HTTP заголовках

Как скрыть версию Apache в HTTP заголовках

Коллеги всем привет.

В этой статье мы поговорим о том как скрыть версию веб сервера Apache в HTTP заголовках.

В тот момент когда пользователь отправляет запрос на ваш веб сервер Apache, то в ответ Apache в HTTP заголовках отправляет пользователю некую конфиденциальную информацию такую как номер версии веб-сервера Apache, короткие сведения об операционной системе сервера, установленных модулях Apache и т.д. Отображение версии Apache в HTTP заголовке несет за собой угрозу безопасности вашего сайта. Этой информации может вполне быть достаточно для злоумышленников, чтобы использовать уязвимости и получить доступ к вашему веб серверу Apache.

Чтобы уменьшить вероятной взлома вашего веб сервера и уменьшить атаки на ваш сайт, то эту информацию необходимо скрыть, чтобы лишить злоумышленника информации о версии вашего веб сервера, и о платформе в целом.

 

По умолчанию пользователю веб сервер Apache отправляет номер версии Apache, и короткие сведения об операционной системе сервера.

apache hide version

Как видим из примера Apache отправляет заголовок под именем Server из конфиденциальной информацией. В этой информации находится версия нашего веб сервера и имя операционной системы.


 

Чтобы скрыть номер версии веб-сервера и сведения об операционной системе сервера, то вам нужно добавить две директивы в конфигурационный файл веб сервера Apache. Директивы называются ServerTokens и ServerSignature.

  • ServerSignature это директива, которая позволяет добавить строку нижнего колонтитула, отображающую имя сервера и номер версии веб сервера.
  • ServerTokens это директива которая тоже отвечает за показ номер версии веб сервера.

 

Открываем конфигурационный файл веб сервера Apache.

Debian/Ubuntu

$. sudo vi /etc/apache2/apache2.conf

RHEL/CentOS

$. sudo vi /etc/httpd/conf/httpd.conf

 

В конфигурационный файл нужно добавить эти две директивы.

ServerTokens Prod
ServerSignature Off

 

После того как мы добавили директивы то теперь нам нужно перезапустить веб сервер Apache, используя следующую команду:

Debian/Ubuntu

$. sudo service apache2 restart

RHEL/CentOS

$. sudo service httpd restart


 

Перезапускам браузер и проверяем.

apache hide version

Как видим теперь параметр Server не содержит никакой конфиденциальной информации которая может помочь злоумышленнику навредить вашему сайту.


 

Всем спасибо, я надеюсь что вам моя статья хоть чем-то помогла.

ПОХОЖИЕ СТАТЬИ

Как включить HTTP Strict Transport Security (HSTS) на Apache и Nginx

Как включить HTTP Strict Transport Security (HSTS) на Apache и Nginx

БЕЗОПАСНОСТЬ
PHP - Как скрыть X-Powered-by в HTTP заголовках

PHP - Как скрыть X-Powered-by в HTTP заголовках

БЕЗОПАСНОСТЬ
Как скрыть версию NGINX в HTTP заголовках

Как скрыть версию NGINX в HTTP заголовках

БЕЗОПАСНОСТЬ