Bei jeder Anfrage an Webseiten wird im sog. Header bei allen Seiten eine zusätzliche Information zur Versionsnummer von Apache und dem Betriebssystem mitgeschickt. Zusätzlich gibt es auch noch eine Statusleiste, die ebenfalls deaktiviert werden kann.
Diese Ausgaben zu verhindern hat nichts mit mehr Sicherheit zu tun, jedoch teilt man so einem Freizeit-Hacker nicht gleich mit, für welche Version Sicherheitslücken gefunden werden können.
1. Versionsnummer von Apache im Header
Der aktuelle Zustand des Servers kann mit dem Firefox Add-on Live HTTP Headers überprüft werden:
Server: Apache/2.2.3 (Debian)
dies entspricht in der Datei /etc/apache2/apache2.conf der Einstellung:
ServerTokens Full
ganz vermeiden lässt sich diese Ausgabe leider nicht, jedoch kann mit der Einstellung
ServerTokens Prod
die Ausgabe aus minimalste reduziert werden. Angezeigt wird nun
Server: Apache
Mir gefällt hingegen die folgende Ausgabe am besten
ServerTokens Minimal
denn so wird nicht zu viel oder zuwenig an Informationen ausgegeben:
Server: Apache/2.2.3
zwischendrin muss man der Webserver natürlich immer wieder seine Konfigurationsdateien neu einlesen lassen, sonst bekommt dieser von der Änderung nichts mit:
apache2ctl graceful
2. Statusleiste von Apache
auf Übersichtsseite, auf welchen der Verzeichnisinhalt aufgelistet wird, steht unten drunter (abhängig von den oberen Einstellungen) folgendes:
Apache/2.2.3 Server at admirableadmin.de Port 80
auch dies lässt sich in der gleichen Datei /etc/apache2/apache2.conf mit
ServerSignature Off
ausstellen.