Як приховати версію Apache у HTTP заголовках

Колеги всім привіт.

У цій статті ми поговоримо про те, як приховати версію веб-сервера Apache в HTTP заголовках.

У той момент коли користувач надсилає запит на ваш веб-сервер Apache, то у відповідь Apache в HTTP заголовках відправляє користувачеві конфіденційну інформацію таку як номер версії веб-сервера Apache, короткі відомості про операційну систему сервера, встановлені модулі Apache і т.д. Відображення версії Apache у заголовку HTTP несе за собою загрозу безпеці вашого сайту. Цієї інформації може бути достатньо для зловмисників, щоб використовувати вразливості і отримати доступ до вашого веб-сервера Apache.

Щоб зменшити ймовірну зламування вашого веб сервера і зменшити атаки на ваш сайт, то цю інформацію необхідно приховати, щоб позбавити зловмисника інформації про версію вашого веб сервера, і про платформу в цілому.

За промовчанням веб-сервер Apache надсилає номер версії Apache, а також коротку інформацію про операційну систему сервера.

Як бачимо з прикладу, Apache відправляє заголовок під ім'ям Server з конфіденційною інформацією. У цій інформації знаходиться версія нашого веб-сервера та ім'я операційної системи.

Щоб приховати номер версії веб-сервера та відомості про операційну систему сервера, вам потрібно додати дві директиви до конфігураційного файлу веб-сервера Apache. Директиви називаються ServerTokens і ServerSignature.

• ServerSignature це директива, яка дозволяє додати рядок нижнього колонтитулу, що відображає ім'я сервера та номер версії веб-сервера.
• ServerTokens це директива, яка також відповідає за показ номер версії веб-сервера.

Відкриваємо конфігураційний файл веб-сервера Apache.

Debian/Ubuntu

$. sudo vi /etc/apache2/apache2.conf

RHEL/CentOS

$. sudo vi /etc/httpd/conf/httpd.conf

У конфігураційний файл потрібно додати дві ці директиви.

ServerTokens Prod
ServerSignature Off

Після того як ми додали директиви, то тепер нам потрібно перезапустити веб сервер Apache, використовуючи наступну команду:

Debian/Ubuntu

$. sudo service apache2 restart

RHEL/CentOS

$. sudo service httpd restart

Перезапуск браузер і перевіряємо.

Як бачимо тепер параметр Server не містить жодної конфіденційної інформації, яка може допомогти зловмиснику нашкодити вашому сайту.

Дякую всім, я сподіваюся що вам моя стаття хоч чимось допомогла.