Version von Apache verstecken

Wenn man auf einem Webserver, der mit Apache läuft, eine Seite aufruft die es nicht gibt, dann zeigt Apache per Default folgendes an:

Not Found
The requested URL /huhu was not found on this server.
Apache/2.2.22 (Debian) Server at domain.ch Port 80

Dies zeigt schon an, mit welchem Betriebssystem der Webserver läuft und welcher Webserver im Einsatz ist. Jeden gewöhnlichen Besucher der Webseiten interessiert diese Information eigentlich nicht und darum sollte diese deaktiviert werden. Je weniger Informationen preisgegeben werden umso besser.

Die Geschwätzigkeit von Apache kann mit den zwei Direktiven ServerTokens und ServerSignature gesteuert werden. Die Direktiven kann man unter Debian in der Datei

/etc/apache2/conf.d/security

konfigurieren.

Mit der Direktive ServerTokens kann konfiguriert werden, wie viele Informationen Apache anzeigt. Folgende Konfigurationen sind möglich:

ServerTokens Minimal
ServerTokens OS (war bei mir Default)
ServerTokens Full
ServerTokens Prod

Damit Apache nicht mehr so geschwätzig ist, sollte der Wert auf

ServerTokens Prod

konfiguriert werden.

Nun sehen die Informationen so aus:

Not Found
The requested URL /huhu was not found on this server.
Apache Server at domain.ch Port 80

Wenn man nicht einmal anzeigen möchte, welcher Webserver läuft, dann kann man dies noch mit

ServerSignature Off

deaktivieren.

Danach sehen die Informationen so aus:

Not Found
The requested URL /huhu was not found on this server.

Damit die Änderungen übernommen werden muss natürlich noch die Konfiguration von Apache neu geladen werden:

service apache2 reload
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über ihren Beitrag!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *