ServerTokens und ServerSignature stehen in Ubuntu / Debian im Verzeichnis var/apache2/conf.d/security und sind standardmäßig auf “Full” bzw. “On” gestellt. Das heißt, dass jede Anfrage mit einem String wie z.B. Apache/2.2.9 (Ubuntu) mod_ssl/2.2.9 OpenSSL/0.9.8g beantwortet wird. Damit weiß ein potenzieller Angreifer schon recht viel über das System und kann sich auf eventuelle Sicherheitslücken dieser Produkte (Apache/Ubuntu) [...]