В этой заметке мы конечно не сделаем свой сервер защищенным от всего и вся, но тем не менее сделаем жизнь взломщикам чуть чуть сложнее.
Дальше речь пойдет о двух директивах Apache: ServerTokens и ServerSignature и как их использовать. Использование данных директив поможет нам дать минимум информацию в банере Apache:
ServerTokens ProductOnly ServerSignature Off
Устанавливаем значение директив указанным образом. Более подробно рассмотрим их ниже.
ServerTokens
Эта директива контролирует как сервер отвечает на запрос клиентом поля заголовка, в котором содержится информацио о операционной системе, установленных модулях и прочее.
- По умолчанию установлено в Full (ServerTokens Full). Различные дистрибутивы могут менять данный параметр. К примеру RHEL подменяет этот параметр на ServerTokens OS, тогда как Debian ничего не меняет.
Возможные значения:
| ServerTokens Setting | Server Banner Header |
| ProductOnly | Server: Apache |
| Major | Server: Apache/2 |
| Minor | Server: Apache/2.0 |
| Minimal | Server: Apache/2.0.55 |
| OS | Server: Apache/2.0.55 (Debian) |
| Full (or not specified) default | Server: Apache/2.0.55 (Debian) PHP/5.1.2-1+b1 mod_ssl/2.0.55 OpenSSL/0.9.8b |
Начиная с Apache 2.0.44, эта директива также контролирует информацию предоставляемую директивой ServerSignature, описанной ниже.
ServerSignature
Эта директива отвечает за вывод подвала страницы в документах, сгенерированных сервером (сообщения о ошибках и прочее).
- Данная директива может быть выставлена не только глобально, но и для виртуальных хостов, и в .htaccess.
- По умолчанию она отключена (ServerSignature Off), но некоторые Linux дистрибутивы могут менять данное значение и включать её.
Возможные значения:
Off (default): подавлять вывод
On: включать строку с указанием версии сервера.
EMail: включено все, и дополнительно доступно поле “mailto:” ссылающееся на ServerAdmin.
Вывод: если вы хотите обеспечить минимум выводимой о сервере информации, установите данные значения в конфиге Apache:
ServerTokens ProductOnly ServerSignature Off
В дальнейших заметках мы продолжим данную тему и я расскажу что ещё можно сделать для безопасности.
Следующим гостем нашего обзора следует веб-сервер nginx. Во-первых, можно, как и в случае с Apache, скрыть тип и версию сервера, это так называемое security through obscurity, которое заставит атакующего потратить дополнительное время. Для этого в файле