Apache ServerTokens

ServerTokens und ServerSignature stehen in Ubuntu / Debian im Verzeichnis
var/apache2/conf.d/security
und sind standardmäßig auf “Full” bzw. “On” gestellt.
Das heißt, dass jede Anfrage mit einem String wie z.B.
Apache/2.2.9 (Ubuntu) mod_ssl/2.2.9 OpenSSL/0.9.8g
beantwortet wird. Damit weiß ein potenzieller Angreifer schon recht viel über das System und kann sich auf eventuelle Sicherheitslücken dieser Produkte (Apache/Ubuntu) konzentrieren.
Deshalb ist es empfehlenswert die “ServerTokens” auf “Prod” (siehe Link) zu stellen und die ServerSignature sollte auch auf “Off” stehen. Damit wir auch die Infomationsflut” gedämpft. (siehe Link)
Es ist zwar keine richtige Sicherheitsfunktion, aber es hilft die Angriffsfläche zu verkleinern, da der Angreifer raten muss, welche Version von Apache installiert ist.

Von admin, 29.09.2009
1 Kommentar

Kommentiere den Artikel oder setze einen Trackback

Bisher 1 Kommentar zum Artikel

  1. Pingback von freggeln » Empfehlungen der Woche – Monday, 5. October 2009

    # 05.10.2009, 10:07 Uhr |

    [...] Apache ServerTokensTuesday, 29. September 2009 Montag, Oktober 5th, 2009 at 10:04 Tags: Links der Woche Kommentare hierzu als RSS Feed Gib Deinen Senf dazu ab | Trackback No comments yet. [...]

Kommentiere den Artikel

Sie müssen eingeloggt sein , um eine Tube Senf beisteuern zu können.



Kommentare zu diesem Artikel über RSS 2.0-Feed verfolgen

«
»