Nicht das eine wirkliche Sicherheit bringt, aber es ist doch schön wenn man dem Apachen und auch PHP ein wenig Geschwätzigkeit abgewöhnen kann. Per default zählt der Indianer nämlich sämtliche aktiven Erweiterungen und seine genaue Version auf. PHP selbst klebt in jeden Header den es angefasst hat mal eben noch seine Version rein, damits auch jeder weiß. Zum einen sind das Informationen die für den Besucher der Webseite unwichtig, für den Admin bekannt und für Skript Kiddies eine Herausforderung sind ;)

Zuerst also dem Apachen seine Geschwätzigkeit abgewöhnen, dazu in die /etc/apache2/apache.conf (so unter Debian) die folgenden Zeilen einfügen:

# ServerTokens
# This directive configures what you return as the
# Server HTTP response Header. The default is
# 'Full' which sends information about the OS-Type
# and compiled in modules.
# Set to one of:
# Full | OS | Minor | Minimal | Major | Prod
# where Full conveys the most information,
# and Prod the least.
#
ServerTokens Prod

Damit verwandelt sich der ausführliche Server Header in ein knappes Server: Apache. PHP kann man über einen Eintrag in der /etc/php5/apache2/php.ini zum Schweigen bringen. Einfach den Schalter expose_php auf Off setzen:

; Decides whether PHP may expose the fact that it is
; installed on the server (e.g. by adding its signature
; to the Web server header). It is no security threat
; in any way, but it makes it possible to determine
; whether you use PHP on your server or not.
expose_php = Off

Nach der Korrektur den Webserver neustarten und die Header mit wget oder LiveHTTPHeaders anschauen ;) Wirkliche Sicherheit bringt das alles nicht, aber warum soll man denn immer allen alles zeigen ;)


Kommentare