ServerTokens und ServerSignature stehen in Ubuntu / Debian im Verzeichnis
var/apache2/conf.d/security
und sind standardmäßig auf “Full” bzw. “On” gestellt.
Das heißt, dass jede Anfrage mit einem String wie z.B.
Apache/2.2.9 (Ubuntu) mod_ssl/2.2.9 OpenSSL/0.9.8g
beantwortet wird. Damit weiß ein potenzieller Angreifer schon recht viel über das System und kann sich auf eventuelle Sicherheitslücken dieser Produkte (Apache/Ubuntu) konzentrieren.
Deshalb ist es empfehlenswert die “ServerTokens” auf “Prod” (siehe Link) zu stellen und die ServerSignature sollte auch auf “Off” stehen. Damit wir auch die Infomationsflut” gedämpft. (siehe Link)
Es ist zwar keine richtige Sicherheitsfunktion, aber es hilft die Angriffsfläche zu verkleinern, da der Angreifer raten muss, welche Version von Apache installiert ist.
One Comment on "Apache ServerTokens"
Trackbacks
[...] Apache ServerTokensTuesday, 29. September 2009 Montag, Oktober 5th, 2009 at 10:04 Tags: Links ...
You must be logged in to post a comment.