Apache sürüm numarasını ve diğer bilgileri gizleme

Apache web sunucunuza uzaktan istekler gönderildiğinde varsayılan olarak web sunucusu sürüm numarası, sunucu işletim sistemi ayrıntıları, yüklü Apache modülleri ve daha fazlası gibi bazı değerli bilgiler, sunucu tarafından oluşturulan bilgilerle istemciye geri gönderilir.

Bu saldırganların güvenlik açıklarından yararlanmaları ve web sunucunuza erişmeleri için ipucular vermektedir. Bu makaledeki belirli Apache yönergeleri kullanarak Apache web sunucusu bilgilerini gizleyebilirsiniz.

Sunucu güvenliği için iki önemli komut şunlardır:

ServerSignature

Hata mesajları gibi sunucu tarafından oluşturulan belgeler altında sunucu adını ve sürüm numarasını gösteren bir altbilgi satırının eklenmesine izin verir.

İki olası değere sahiptir:

      • On
      • Off
ServerTokens

İstemcilere geri gönderilen sunucu yanıt üstbilgisi alanının sunucu işletim sistemi türünün ve etkin Apache modülleriyle ilgili bilginin bir açıklamasını içerip içermediğini belirler.

Bu komut aşağıdaki değerlere sahiptir;

ServerTokens Full (veya belirtilmemiş) 
Client'a gönderilen bilgi: Sunucu: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens Prod [uctOnly] 
Client'a gönderilen bilgi: Sunucu: Apache 

ServerTokens Major
Client'a gönderilen bilgi: Sunucu: Apache/2 

ServerTokens Minor 
Client'a gönderilen bilgi: Sunucu: Apache/2.4 

ServerTokens Min [imal] 
Client'a gönderilen bilgi: Sunucu: Apache/2.4.2 

ServerTokens OS
Client'a gönderilen bilgi: Sunucu: Apache/2.4.2 (Unix) 

Not: Apache sürüm 2.0.44’ten sonra ServerTokens , ServerSignature komutu tarafından sunulan bilgileri de kontrol eder.

Web sunucusu sürüm numarasını, sunucu işletim sistemi ayrıntılarını, yüklü Apache modüllerini ve daha fazlasını gizlemek için apache web sunucusu yapılandırma dosyanızı metin editörünüzü kullanarak açın:

nano /etc/apache2/apache2.conf #Debian /Ubuntu sistemleri
nano /etc/httpd/conf/httpd.conf #RHEL /CentOS sistemleri 

ve aşağıdaki satırları ekle/değiştir:

ServerTokens Prod
ServerSignature Off 

Dosyayı kaydedin, apache’yi yeniden başlatın:

systemctl restart httpd #RHEL /CentOS sistemleri 
systemctl restart apache2 #Debian /Ubuntu sistemleri

Yorum yapın