Ein Apache2 Webserver liefert bei einer nicht gefundenen Seite informationen über die installierte Apache Version, Patches, etc.
Da dies nur ein unnötiges Angriffziel darstellt, da man dem „Gegner“ wichtige Infos zukommen lässt, schaltet man die Funktion am besten ab.
Bearbeitet die Datei
/etc/apache2/conf.d/security
und setzt den Wert von
ServerSignature On
auf
ServerSignature Off
Ab sofort werden die Informationen nicht mehr angezeigt.
Die Zeile „ServerTokens Prod“ sollte noch hinzugefügt werden. Damit verrät der Apache2 auch in den HTTP Antwort Kopfdaten nicht zu viel über den Server.
Das Eintragen von „ServerSignature Off“ wirkt sich ebenfalls auf Variablen aus die in PHP zur Verfügung stehen.
wem das nicht reicht kann noch z.B. den X-Powered-By: xxxx Header von PHP in der php.ini abschalten und / oder den Server Header mit mod_security überschreiben.