Com amagar el número de versió d'Apache i altres dades sensibles


Quan s'envien sol·licituds remotes al vostre servidor web Apache, de manera predeterminada, s'envia al client informació valuosa, com ara el número de versió del servidor web, els detalls del sistema operatiu del servidor, els mòduls Apache instal·lats i més, en els documents generats pel servidor.

Aquesta és una bona quantitat d'informació perquè els atacants explotin les vulnerabilitats i tinguin accés al vostre servidor web. Per evitar que es mostri informació del servidor web, mostrarem en aquest article com ocultar la informació del servidor web d'Apache mitjançant directives d'Apache concretes.

Les dues directrius importants són:

El que permet afegir una línia de peu de pàgina que mostra el nom del servidor i el número de versió sota documents generats pel servidor, com ara missatges d'error, llistats de directoris ftp mod_proxy, sortida mod_info i molts més.

Té tres valors possibles:

  1. Activat: permet afegir una línia de peu de pàgina final als documents generats pel servidor,
  2. Desactivat: desactiva la línia del peu de pàgina i
  3. Email: crea una referència mailto:; que envia un correu a l'Administrador del servidor del document de referència.

Determina si el camp de capçalera de resposta del servidor que s'envia als clients conté una descripció del tipus de sistema operatiu del servidor i informació sobre els mòduls Apache habilitats.

Aquesta directiva té els valors possibles següents (més la informació de mostra enviada als clients quan s'estableix el valor específic):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix) 

Nota: després de la versió 2.0.44 d'Apache, la directiva ServerTokens també controla la informació que ofereix la directiva ServerSignature.

Per amagar el número de versió del servidor web, els detalls del sistema operatiu del servidor, els mòduls Apache instal·lats i molt més, obriu el fitxer de configuració del servidor web Apache amb el vostre editor preferit:

$ sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
$ sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems 

I afegir/modificar/afegir les línies següents:

ServerTokens Prod
ServerSignature Off 

Deseu el fitxer, sortiu i reinicieu el vostre servidor web Apache d'aquesta manera:

$ sudo systemctl restart apache2  #SystemD
$ sudo service apache2 restart     #SysVInit

En aquest article, vam explicar com amagar el número de versió del servidor web Apache i molta més informació sobre el vostre servidor web mitjançant determinades directives d'Apache.

Si esteu executant PHP al vostre servidor web Apache, us suggereixo que amagueu el número de versió de PHP.

Com és habitual, podeu afegir els vostres pensaments a aquesta guia mitjançant la secció de comentaris a continuació.