如何隐藏Apache版本号和其它敏感信息
当远程请求发送到你的 Apache Web 服务器时,在默认情况下,一些有价值的信息,如 web 服务器版本号、服务器操作系统详细信息、已安装的 Apache 模块等等,会随服务器生成的文档发回客户端。
这给攻击者利用漏洞并获取对 web 服务器的访问提供了很多有用的信息。为了避免显示 web 服务器信息,我们将在本文中演示如何使用特定的 Apache 指令隐藏 Apache Web 服务器的信息。
两个重要的指令是:
ServerSignature
这允许在服务器生成的文档(如错误消息、modproxy 的 ftp 目录列表、modinfo 输出等等)下添加一个显示服务器名称和版本号的页脚行。
它有三个可能的值:
On - 允许在服务器生成的文档中添加尾部页脚行, Off - 禁用页脚行 EMail - 创建一个 “mailto:” 引用;用于将邮件发送到所引用文档的 ServerAdmin。ServerTokens
它决定了发送回客户端的服务器响应头字段是否包含服务器操作系统类型的描述和有关已启用的 Apache 模块的信息。
此指令具有以下可能的值(以及在设置特定值时发送到客户端的示例信息):
ServerTokens Full (或者不指定)
发送给客户端的信息: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
发送给客户端的信息: Server: Apache
ServerTokens Major
发送给客户端的信息: Server: Apache/2
ServerTokens Minor
发送给客户端的信息: Server: Apache/2.4
ServerTokens Min[imal]
发送给客户端的信息:Server: Apache/2.4.2
ServerTokens OS
发送给客户端的信息: Server: Apache/2.4.2 (Unix)
注意:在 Apache 2.0.44 之后,ServerTokens 也控制由 ServerSignature 指令提供的信息。
为了隐藏 web 服务器版本号、服务器操作系统细节、已安装的 Apache 模块等等,使用你最喜欢的编辑器打开 Apache 配置文件:
$ sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems $ sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
添加/修改/附加下面的行:
ServerTokens Prod ServerSignature Off
保存并退出文件,重启你的 Apache 服务器:
$ sudo systemctl apache2 restart #SystemD $ sudo sevice apache2 restart #SysVInit
本篇中,我们解释了如何使用特定的 Apache 指令隐藏Apache web 服务器版本号及其他信息。
如果你在 Apache 中运行 PHP,我建议你隐藏 PHP 版本号。
如往常一样,你可以在评论栏中写下你的想法。
作者简介:
Aaron Kili 是 Linux 和 F.O.S.S 爱好者,将来的 Linux SysAdmin 及 web 开发者,目前是 TecMint 的内容创作者,他喜欢用电脑工作,并坚信分享知识。
作者:Aaron Kili
来源:51CTO
云栖大讲堂 擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
相关文章
- 看CarbonData如何用四招助力Apache Spark
- Apache:如何访问共享目录
- 【 APACHE 】 Apache2.4.x版本虚拟主机配置
- Apache Druid 能够支持即席查询
- apache-jmeter-3.3的简单压力测试使用方法
- Caused by: org.apache.ibatis.reflection.ReflectionException: There is no getter for property named 'company' in 'class java.lang.String'
- 如何在CentOS上安装Apache Hadoop
- 如何在Ubuntu16.04中用Apache部署Jenkins自动化服务器
- 【大数据-实时流计算】图文详解 Apache Flink 架构原理
- Apache Common DbUtils
- 基于Apache doris怎么构建数据中台(一)-什么是数据中台
- java-类库-Apache Commons
- 查看Apache并发请求数及其TCP连接状态
- 一文彻底掌握Apache Hudi异步Clustering部署
- Apache Hudi内核之文件标记机制深入解析
- Apache Hudi 0.9.0版本重磅发布!更强大的流式数据湖平台
- 如何在Ubuntu 16.04上安装Apache Web服务器
- 如何隐藏 Apache 的版本号和操作系统信息
- Apache NiFi