Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
tux:disable_apache_signature [2013/04/13 12:01] wikisysop |
tux:disable_apache_signature [2013/04/13 18:31] (aktuell) wikisysop |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | =====Apache: Serversignatur deaktivieren===== | + | [[:tux|{{ :linux.png?40|}}]] |
- | Der Apache Webserver bietet in seiner Standardeinstellung Informationen über die verwendete Version und des zugrunde liegendem Betriebssystems an: | + | =====Apache/PHP: Serversignatur deaktivieren===== |
+ | Der Apache Webserver bietet in seiner Standardeinstellung Informationen über die verwendeten Versionen (Apache und PHP) und des zugrunde liegendem Betriebssystems an: | ||
<xterm>$ <fc #008000>wget --save-headers -O- -q http://wiki.prontosystems.org</fc> | <xterm>$ <fc #008000>wget --save-headers -O- -q http://wiki.prontosystems.org</fc> | ||
Zeile 6: | Zeile 7: | ||
Date: Sat, 13 Apr 2013 09:11:25 GMT | Date: Sat, 13 Apr 2013 09:11:25 GMT | ||
<fc #800000>Server: Apache/2.2.16 (Debian)</fc> | <fc #800000>Server: Apache/2.2.16 (Debian)</fc> | ||
- | X-Powered-By: PHP/5.3.3-7</xterm> | + | <fc #800000>X-Powered-By: PHP/5.3.3-7</fc></xterm> |
- | Aus Sicherheitsgründen sollte man diese Information abschalten, weil dadurch ein potentieller Angreifer die der Version zugrunde liegenden Sicherheitslöcher leichter ermitteln kann. In der >>Apache<< Webserver Konfiguration sind dafür zwei Schlüsselwörter vorhanden, welche die bereitgestellten Informationen beeinflussen: | + | Aus Sicherheitsgründen sollte man diese Information abschalten, weil dadurch ein potentieller Angreifer die der Version zugrunde liegenden Sicherheitslöcher leichter ermitteln kann. In der >><fc #008000>Apache</fc><< Webserver Konfiguration sind dafür zwei Parameter vorhanden, welche die bereitgestellten Informationen beeinflussen: |
* **''ServerTokens''** | * **''ServerTokens''** | ||
Zeile 15: | Zeile 16: | ||
Diese befinden sich entweder in der Datei >><fc #008000>/etc/apache2/https.conf</fc><<, >><fc #008000>/etc/apache2/apache2.conf</fc><< oder >><fc #008000>/etc/apache2/conf.d/security</fc><< | Diese befinden sich entweder in der Datei >><fc #008000>/etc/apache2/https.conf</fc><<, >><fc #008000>/etc/apache2/apache2.conf</fc><< oder >><fc #008000>/etc/apache2/conf.d/security</fc><< | ||
- | Um die Bereitstellung der Serversignatur zu deaktivieren, stellen Sie bei den beiden Schlüsselwörtern folgende Werte ein: | + | Um die Bereitstellung der Serversignatur zu deaktivieren, stellen Sie bei den beiden Parameter folgende Werte ein: |
<box round green|/etc/apache2/conf.d/security>... | <box round green|/etc/apache2/conf.d/security>... | ||
Zeile 38: | Zeile 39: | ||
<fc #0000FF>ServerSignature</fc> <fc #FF0000>Off</fc> | <fc #0000FF>ServerSignature</fc> <fc #FF0000>Off</fc> | ||
//<fc #808080>#ServerSignature On</fc>//</box> | //<fc #808080>#ServerSignature On</fc>//</box> | ||
+ | |||
+ | Das Anzeigen der verwendeten >><fc #008000>PHP</fc><< Version wird in der PHP Konfigurationsdatei >><fc #008000>/etc/php5/apache2/php.ini</fc><< gesteuert. Hier ist der Parameter >><fc #008000>expose_php</fc><< auf >><fc #008000>Off</fc><< zu stellen: | ||
+ | |||
+ | <box green round|/etc/php5/apache2/php.ini>; //<fc #808080>Decides whether PHP may expose the fact that it is installed on the server | ||
+ | ; (e.g. by adding its signature to the Web server header). It is no security | ||
+ | ; threat in any way, but it makes it possible to determine whether you use PHP | ||
+ | ; on your server or not. | ||
+ | ; http://php.net/expose-php</fc>// | ||
+ | <fc #0000FF>expose_php</fc> = <fc #FF0000>Off</fc></box> | ||
Im Anschluss daran laden Sie die Webserverkonfiguration neu: | Im Anschluss daran laden Sie die Webserverkonfiguration neu: | ||
Zeile 43: | Zeile 53: | ||
<xterm># <fc #008000>/etc/init.d/apache2 reload</fc></xterm> | <xterm># <fc #008000>/etc/init.d/apache2 reload</fc></xterm> | ||
- | Danach werden das Betriebssystem und die Apache Version nicht mehr angezeigt: | + | Danach werden das Betriebssystem sowie die Apache und PHP Version nicht mehr angezeigt: |
<xterm>$ <fc #008000>wget --save-headers -O- -q http://wiki.prontosystems.org</fc> | <xterm>$ <fc #008000>wget --save-headers -O- -q http://wiki.prontosystems.org</fc> | ||
HTTP/1.1 200 OK | HTTP/1.1 200 OK | ||
Date: Sat, 13 Apr 2013 09:21:07 GMT | Date: Sat, 13 Apr 2013 09:21:07 GMT | ||
- | <fc #800000>Server: Apache</fc> | + | <fc #800000>Server: Apache</fc></xterm> |
- | X-Powered-By: PHP/5.3.3-7</xterm> | + | |
--- //pronto 2013/04/13 11:57// | --- //pronto 2013/04/13 11:57// | ||
- | {{keywords>apache2 ServerTokens ServerSignature disable}} | + | {{keywords>apache2 php5 ServerTokens ServerSignature expose_php disable}} |