Apache2 Webserver Security

Heute will ich euch mal eine Einstellung für den Apache2 Webserver näher bringen. Es handelt sich dabei um eine Einstellung, die wichtig für die Sicherheit des Servers ist und relativ einfach durchgeführt werden kann.

Verschleiern der Apache2 Version durch einbinden der ServerTokens

Die Version des Laufenden Webservers, kann für einen Angreifer sehr interessant sein. Wenn er genau weis, welcher Art an Server läuft und in welcher Version ist es ein leichtes,  die momentanen Schwachstellen des Dienstes ausfindig zu machen.
Wenn auf unserem Webserver ein Pfad oder eine Datei aufgerufen wird die nicht existiert, kann es passieren das eine Index oder Not Found Seite zurückgeliefert wird. Auf dieser finden wir in der Standardkonfiguration die Art des Webservers und dessen Version. Hier mal ein Bild um die Ausgabe zu verdeutlichen.

apache2_security_01

Wie wir auf dem Bild sehen wird die Arte des Webservers (Apache) mit der Version (2.2.22) und dem Betriebssystem (Debian) preisgegeben. Analog können wir das auch im HTTP-Header sehen.

Um diese Flut an Informationen einzuschränken, rufen wir die Datei /etc/apache2/conf.d/security mit dem Editor auf. Hier ändern wir den Eintrag ServerToken auf Prod.

Wir sehen nun, dass im Webbrowser weder das Betriebssystem, noch die Apache Version angezeigt wird.

apache2_security_02

Auch die Ausgabe des HTTP-Headers hat sich geändert.

Nun wollen wir noch den String Apache im Browser entfernen. Dafür ändern wir in der selben Datei noch den Eintrag ServerSignature. Dieser Eintrag wird von On auf Off gesetzt.

Im Webbrowser sehen wir nun, das die komplette Zeile verschwunden ist.

apache2_security_03

Im HTTP-Header bleibt jedoch die Art des Servers enthalten.

 

About Christian Piazzi

Ich blogge hier über alles, was mir so in meinem ITler Altag über den Weg läuft =)
Man findet mich privat bei Google+ und Twitter

Speak Your Mind

*