Bei einer Sicherheitsüberprüfung Ihrer Webseiten können Informationen über das verwendete Betriebssystem und die Webserverinstanz angezeigt werden:
[+] Headers | Interesting Entry: Server: Apache/2.4.56 (Debian) | Found By: Headers (Passive Detection) | Confidence: 100%
Die angezeigte Informationen beziehen sich auf den Server und dessen Softwareversion, die durch die HTTP-Header, speziell den Server-Header, ausgeliefert wird. Diese Information kann von Angreifern genutzt werden, um spezifische Schwachstellen auszunutzen, die mit Ihrer Serverversion verbunden sind. Um die Sicherheit zu erhöhen, können Sie diese Information aus den HTTP-Headern entfernen oder modifizieren.
Um Änderungen wie die Anpassung der ServerTokens und ServerSignature Direktiven vorzunehmen, die sich auf den gesamten Server auswirken und nicht nur auf einen spezifischen VHost, sollten Sie diese Änderungen in einer zentralen Konfigurationsdatei vornehmen, die für alle VHosts gilt. Die apache2.conf ist hierfür ein geeigneter Ort. Fügen Sie folgende Direktiven am Ende der apache2.conf Datei ein und laden Sie die Konfiguration Ihres Webservers neu:
ServerTokens Prod ServerSignature Off
$ sudo apache2ctl configtest
Syntax OK$ sudo systemctl reload apache2[+] Headers | Interesting Entry: Server: Apache | Found By: Headers (Passive Detection) | Confidence: 100%
Das Deaktivieren der Ausgaben durch ServerTokens und ServerSignature in Apache hat in der Regel minimale bis keine negativen Auswirkungen auf die Funktionalität Ihrer Website oder Anwendungen. Diese Einstellungen dienen hauptsächlich dazu, Informationen über die verwendete Server-Software und ihre Version zu verbergen, um potenziellen Angreifern weniger Anhaltspunkte zu bieten.
Es ist eine einfache, aber effektive Methode, um die Oberfläche, die Angreifern zur Verfügung steht, zu verringern. Wie bei allen Sicherheitsmaßnahmen ist es wichtig, diese Einstellungen im Kontext Ihrer gesamten Sicherheitsarchitektur und -politik zu betrachten.
