Si të fshehni numrin e versionit të Apache dhe informacionin e sistemit operativ
Apache është një nga serverët më të njohur në internet, por konfigurimi i tij i paracaktuar përmban zgjedhje të dyshimta në shumë shpërndarje Linux. Apache tenton të reklamojë versionin e tij specifik dhe platformën në të cilën po funksionon, informacion që mund të jetë i vlefshëm për sulmuesit.
Ky artikull i shpejtë do t'ju tregojë se si ta çaktivizoni këtë dalje për të ndihmuar në mbrojtjen e serverit tuaj. Zakonisht nuk ka asnjë arsye që ai të jetë aktiv dhe fikja e tij duhet të marrë vetëm një minutë.
Ku qendron problemi?
Këtu është një instalim i ri i Apache 2.4 që shfaq një indeks drejtorie:
Fundi i faqes zbulon kodin e versionit Apache, emrin e sistemit operativ dhe adresën e brendshme IP dhe numrin e portit të serverit tuaj.
Këto janë detaje potencialisht të ndjeshme. Një cenueshmëri e ditës zero në Apache mund të prekë vetëm një gamë të vogël versionesh. Duke e lënë të aktivizuar këtë dalje, ju po i tregoni botës nëse makina juaj është në rrezik. Kjo e bën shumë më të lehtë për sulmuesit të identifikojnë hostin tuaj si një objektiv të mundshëm.
Apache i referohet këtyre të dhënave si nënshkrimi i serverit. Nuk kufizohet në faqet e indeksit të drejtorisë: kodi i versionit përfshihet në çdo përgjigje HTTP brenda titullit Server
:
Ai do të jetë i pranishëm pavarësisht nga kodi i statusit të përgjigjes. Sulmuesit mund të gjejnë versionin tuaj të saktë të Apache thjesht duke bërë një kërkesë në serverin tuaj, pavarësisht nëse ata dinë një URL të vlefshme.
Çaktivizimi i nënshkrimit të serverit
Ka dy pjesë për të çaktivizuar këtë dalje të padëshiruar. Së pari është vlera ServerSignature
në skedarin tuaj të konfigurimit Apache. Vendndodhja e këtij skedari ndryshon; /etc/apache2/apache2.conf
dhe /usr/local/apache2/conf/httpd.conf
janë dy mundësi të zakonshme. Direktiva ServerSignature
mbështetet gjithashtu brenda skedarëve .htaccess
në rrënjën tuaj të internetit.
Vendoseni direktivën në Off
për të çaktivizuar nënshkrimin që shfaqet në faqet e internetit të krijuara nga serveri:
ServerSignature Off
Rinisni Apache për të aplikuar ndryshimin:
$ sudo service apache2 restart
Kjo ndikon në listat e direktorive, faqet e gabimeve të paracaktuara të Apache dhe daljet e tjera HTML të prodhuara nga serveri. Off
heq plotësisht linjën e nënshkrimit. Cilësimi mbështet opsionalisht një vlerë të tretë, Email
, që ofron një lidhje për të dërguar një email në adresën e përcaktuar nga ServerAdmin
:
ServerAdmin example@example.com
ServerSignature EMail
Kjo zëvendëson informacionin e versionit Apache me lidhjen e emailit.
Menaxhimi i Shenjave të Serverit
Përmbajtja e titullit të përgjigjes Server
kontrollohet nga një cilësim tjetër, ServerTokens
. Kjo mund të vendoset vetëm nga skedari i konfigurimit global të serverit tuaj. Nuk mbështetet brenda skedarëve .htaccess
.
Vlera e paracaktuar është Full
që paraqet vargun e saktë të versionit dhe emrin e sistemit operativ të vërejtur në shembullin e mësipërm. Kjo mund të përfshijë gjithashtu numrat e versioneve të moduleve të ngarkuara dhe motorët e përmbajtjes CGI si PHP.
Vlerat alternative të mëposhtme mbështeten:
Plot
–Apache/2.4.2 (Ubuntu)
Prod
–Apache
Major
–Apache/2
Minor
–Apache/2.4
Min
–Apache/2.4.2
OS
– Njëlloj siPlot
por pa informacion për modulet e ngarkuara
Zgjedhja Prod
është vlera më e sigurt. Mund ta mendoni si Prodhimi
, megjithëse në fakt është shkurtim për ProductOnly
. Kjo shenjë serveri do të thotë se titulli i Server
do të zbulojë vetëm se po përdorni Apache, pa ndonjë informacion shtesë rreth lëshimit. Sulmuesit do të duhet të bëjnë më shumë hetime provë dhe gabimesh për të gjetur dobësi të shfrytëzueshme në instalimin tuaj.
Fatkeqësisht nuk ka asnjë mënyrë për të hequr fare kokën e Server
. Apache në fakt pohon se çaktivizimi i tij nuk bën asgjë për ta bërë serverin tuaj më të sigurt dhe sugjeron përdorimin e Min
për ta bërë më të lehtë korrigjimin e problemeve ndërvepruese.
Megjithatë, shumica e njerëzve nuk e konsumojnë kurrë titullin Server
dhe është gjithmonë më e sigurta të reklamoni informacionin më të vogël të mundshëm për sistemin tuaj. Ndërsa nuk do të parandalojë shfrytëzimin e dobësive, ServerTokens Prod
mund t'i pengojë sulmuesit të bëjnë përpjekje spekulative. Gjithashtu do ta bëjë më të vështirë për kalimtarët që të mbledhin detaje të funksionimit të brendshëm të grupit tuaj të teknologjisë. Është vetëm një forcim i vogël, por një ditë mund të jetë ndryshimi që ju nevojitet.
Po në lidhje me PHP?
Apache përdoret shpesh përpara faqeve të internetit dhe aplikacioneve të mundësuara nga PHP. Fatkeqësisht PHP ka zakonin e vet për të ofruar numrin e versionit të tij në internet. Do të shfaqet në titullin X-Powered-By
të përgjigjeve të dërguara nga kodi juaj PHP.
Ju mund ta çaktivizoni këtë duke modifikuar skedarin tuaj të konfigurimit PHP me rreshtin e mëposhtëm:
expose_php = Off
Skedari i konfigurimit zakonisht mund të gjendet në /etc/php/8.1/apache2/php.ini
. Zëvendësoni 8.1
me versionin PHP që po përdorni. Ju do të duhet të rinisni serverin tuaj të internetit për të aplikuar ndryshimin.
Përmbledhje
Konfigurimi i paracaktuar i Apache ekspozon numrin e saktë të versionit të serverit tuaj, si dhe sistemin e tij operativ dhe adresën IP. Ky informacion në dukje i padëmshëm mund t'u japë një ndihmë sulmuesve që kërkojnë serverë të cenueshëm.
Fikja e nënshkrimit të serverit është një mënyrë e shpejtë për të forcuar mjedisin tuaj. Është gjithashtu një ide e mirë të trajtoni ekspozimin e informacionit të ngjashëm nga softuer të tjerë në pirgun tuaj në të njëjtën kohë. PHP dhe disa korniza ueb vijnë me dobësi të ngjashme.