Apache: Versions- und Modulinformationen ausblenden

von Thomas Lange

Der Apache-Webserver gibt in seiner Standardkonfiguration detaillierte Informationen über die eingesetzten Software- und Modulversionen im HTTP Response-Header sowie auf den Fehlerseiten preis, womit man einem Angreifer eventuell die Arbeit erleichtern könnte. Das Vorhandensein dieser Informationen an sich stellt zwar noch kein großes Sicherheitsproblem dar, kann aber darauf hindeuten, dass der Webserver nicht sauber konfiguriert wurde. Außerdem sind die detaillierten Informationen über die Software- und Modulversionen für den Webseitenbesucher irrelevant. Um diese Informationen auszublenden setzt man folgende Einstellungen in der conf-available/security.conf des Apache-Webservers:

ServerTokens Prod
ServerSignature Off

Nachdem man die Apache-Konfiguration neu geladen hat erscheint im HTTP Response-Header anstatt der eingesetzen Software- und Modulversionen nur noch der Name des Webservers; auf den Fehlerseiten wird die Signatur überhaupt nicht mehr angezeigt.

Der Verfasser

Hi. Mein Name ist Thomas und ich bin nicht gut im Schreiben von Vorstellungen. Ich mag die IT und liebe es mit GNU\Linux zu arbeiten. Auf diesem Blog gibt es Beiträge über die verschiedensten Dinge, die mich beschäftigen oder interessieren (dieses Blogsystem ist eine Eigenentwicklung). Deine Fragen, Ergänzungen und Korrekturen zu Inhalten kannst du mir gerne per Mail mitteilen. 😊