Cómo ocultar el número de versión de Apache y otra información confidencial
Cuando se envían solicitudes remotas a su servidor web Apache, de forma predeterminada, cierta información valiosa, como el número de versión del servidor web, los detalles del sistema operativo del servidor, los módulos Apache instalados y más, se envía en documentos generados por el servidor de regreso al cliente.
Lea también. Cómo ocultar la versión del servidor Nginx en Linux
Esta es una gran cantidad de información para que los atacantes aprovechen las vulnerabilidades y obtengan acceso a su servidor web. Para evitar mostrar información del servidor web, mostraremos en este artículo cómo ocultar la información del servidor web Apache utilizando directivas de Apache particulares.
Lectura sugerida: 13 consejos útiles para proteger su servidor web Apache
El dos directivas importantes son:
ServerSignature
que permite agregar una línea de pie de página que muestre el nombre del servidor y el número de versión en documentos generados por el servidor, como mensajes de error, listados de directorios ftp mod_proxy, salida mod_info y muchos más.
freestar.config.enabled_slots.push
Tiene tres valores posibles:
- Activado. que permite agregar una línea de pie de página al final en documentos generados por el servidor,
- Desactivado. deshabilita la línea de pie de página y
- Correo electrónico. crea un “ correo a:. ”referencia; que envía un correo al ServerAdmin del documento referenciado.
ServerTokens
Determina si el campo de encabezado de respuesta del servidor que se envía a los clientes contiene una descripción del tipo de sistema operativo del servidor e información sobre módulos Apache habilitados.
Esta directiva tiene los siguientes valores posibles (más información de muestra enviada a los clientes cuando se establece el valor específico):
ServerTokens Completo (o no especificado) Información enviada a los clientes: Servidor : Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 ServerTokens Prod [uctOnly] Información enviada a los clientes: Servidor: Apache ServerTokens Información principal enviada a los clientes: Servidor: Apache/2 ServerTokens Información menor enviada a los clientes: Servidor : Apache/2.4 ServerTokens Min [imal] Información enviada a los clientes: Servidor: Apache/2.4.2 ServerTokens Información del SO enviada a los clientes: Servidor: Apache/2.4.2 (Unix)
Nota. después de la versión 2.0.44. de Apache, la directiva ServerTokens. también controla la información ofrecida por la directiva ServerSignature.
Lectura sugerida: 5 consejos para mejorar el rendimiento del servidor web Apache
Para ocultar el número de versión del servidor web, los detalles del sistema operativo del servidor, los módulos Apache instalados y más, abra su archivo de configuración del servidor web Apache usando su editor favorito:
$ sudo vi/etc/apache2/apache2.conf # Debian/Ubuntu systems $ sudo vi/etc/httpd/conf/httpd.conf # RHEL/CentOS systems
Y agregue/modifique/agregue las líneas a continuación:
ServerTokens Prod ServerSignature Off
Guarde el archivo, salga y reinicie su servidor web Apache así:
$ sudo systemctl restart apache2 #SystemD $ sudo service apache2 restart #SysVInit
En este artículo, explicamos cómo ocultar el número de versión del servidor web Apache y mucha más información sobre su servidor web usando ciertas directivas de Apache.
Si está ejecutando PHP en su Servidor web Apache, le sugiero que oculte el número de versión de PHP.
Como de costumbre, puede agregar sus ideas a esta guía a través de la sección de comentarios b elow.
