Der Apache Webserver bietet in seiner Standardeinstellung Informationen über die verwendeten Versionen (Apache und PHP) und des zugrunde liegendem Betriebssystems an:
$ wget --save-headers -O- -q http://wiki.prontosystems.org HTTP/1.1 200 OK Date: Sat, 13 Apr 2013 09:11:25 GMT Server: Apache/2.2.16 (Debian) X-Powered-By: PHP/5.3.3-7
Aus Sicherheitsgründen sollte man diese Information abschalten, weil dadurch ein potentieller Angreifer die der Version zugrunde liegenden Sicherheitslöcher leichter ermitteln kann. In der »Apache« Webserver Konfiguration sind dafür zwei Parameter vorhanden, welche die bereitgestellten Informationen beeinflussen:
ServerTokens
ServerSignature
Diese befinden sich entweder in der Datei »/etc/apache2/https.conf«, »/etc/apache2/apache2.conf« oder »/etc/apache2/conf.d/security«
Um die Bereitstellung der Serversignatur zu deaktivieren, stellen Sie bei den beiden Parameter folgende Werte ein:
/etc/apache2/conf.d/security
Das Anzeigen der verwendeten »PHP« Version wird in der PHP Konfigurationsdatei »/etc/php5/apache2/php.ini« gesteuert. Hier ist der Parameter »expose_php« auf »Off« zu stellen:
/etc/php5/apache2/php.ini
Im Anschluss daran laden Sie die Webserverkonfiguration neu:
# /etc/init.d/apache2 reload
Danach werden das Betriebssystem sowie die Apache und PHP Version nicht mehr angezeigt:
$ wget --save-headers -O- -q http://wiki.prontosystems.org HTTP/1.1 200 OK Date: Sat, 13 Apr 2013 09:21:07 GMT Server: Apache
— pronto 2013/04/13 11:57