Home SysAdmin Apache Server-Version verbergen

Apache Server-Version verbergen

Veröffentlicht in SysAdmin Tagged with

Um zu vermeiden, daß ein potentieller Angreifer bekannte Schwachstellen einer Apache-Version ausnützt, wird empfohlen diese bei allen Antworten zu verbergen. In der Standardeinstellung wird jedoch bei allen Fehler-Seiten (404, 403,…) auch die Server-Version angezeigt. Auch im Http-Antwortkopf befindet sich eine Zeile welche diese Informationen freigibt.

So kann man dies abstellen:

Dazu muss man in der Apache-Konfiguration 2 Direktiven einfügen:

ServerSignature Off
ServerTokens Prod

Die Apache-Konfiguration befindet sich unter

  • Debian bzw. Ubuntu  in /etc/apache2/apache2.conf,
  • CentOS, Fedora, RHEL or Arch Linux in /etc/httpd/conf/httpd.conf.

Mit „ServerSignature Off“ wird die Ausgabe der Apache-Version auf Fehlerseiten unterbunden, mit „ServerTokens Prod“ wird die Angabe der Version im Http-Antwortkopf ausgeblendet. Diesen könnt ihr z.B. mit dem Befehl

curl -v http://www.example.com

anzeigen lassen. Ohne die Direktive würde dann auch eine Zeile wie z.B. Server: Apache/x.x.xx (Ubuntu) zurückgegeben werden.