Bei der Standard Installation von einem Apache Server, werden bei jedem Zugriff auf die Seite empfindliche Informationen geteilt.
Den User der Webseite bringen diese Informationen nichts aber Angreiffer können so Ihr Ziel bereits im Vorherein eingrenzen.
X-Powered-By kann die verwendete PHP Version zurückgeben. Solltet Ihr etwas Updatefaul sein, so kann es vorkommen das eure PHP Version bekannte Sicherheitslücken aufweisst. Nicht gut…
Der Server Header von Apache zeigt die Installiere Version von Apache an.
Dies ist nicht so bedenklich wie die PHP Version, sollte aber auch vermieden werden.
Header entfernen
Apache
Folgendes in der httpd.conf eintragen ( /etc/apache2/httpd.conf )
Header unset X-Powered-By
PHP
In der php.ini folgendes eintragen.
expose_php = Off
Mit ISPConfig findet Ihr diese Optionen direkt in der Weboberfläche eingetragen werden.
ServerToken und ServerSignature
Die PHP Version wurde nun ausgeblebet. Der Server sendet aber immer noch seine Version
Hierzu unter /etc/apache2/conf-available/security.conf folgende Zeilen Anpassen
ServerTokens OS zu ServerTokens Prod
ServerSignature On zu ServerTokens Off
ändern.
Fertig 🙂 Eurer Server sagt bei Anfragen nur noch das es sich um einen Apache Server handelt. Alle andere Informationen bleiben geheim.