Apache: Versions- und Modulinformationen ausblenden

Der Apache-Webserver gibt in seiner Standardkonfiguration detaillierte Informationen über die eingesetzten Software- und Modulversionen im HTTP Response-Header sowie auf den Fehlerseiten preis, womit man einem Angreifer eventuell die Arbeit erleichtern könnte. Das Vorhandensein dieser Informationen an sich stellt zwar noch kein großes Sicherheitsproblem dar, kann aber darauf hindeuten, dass der Webserver nicht sauber konfiguriert wurde.

Außerdem sind die detaillierten Informationen über die Software- und Modulversionen für den Webseitenbesucher irrelevant. Um diese Informationen auszublenden setzt man folgende Einstellungen in der conf-available/security.conf des Apache-Webservers:

ServerTokens Prod
ServerSignature Off

Nachdem man die Apache-Konfiguration neu geladen hat erscheint im HTTP Response-Header anstatt der eingesetzen Software- und Modulversionen nur noch der Name des Webservers; auf den Fehlerseiten wird die Signatur überhaupt nicht mehr angezeigt.

Der Autor

Hi. Ich bin Thomas. Hier veröffentliche ich in unregelmäßgen Abständen mehr oder weniger interessante Beiträge über Dies und Jenes, hauptsächlich über Computer und IT. Außerdem mag ich die Linux-Kommandozeile, vor allem wenn ich darauf mit (m)einer mechanischen Tastatur herumhacken kann. 😀