在我们与Apache服务器安全性和强化提示有关的几篇文章中,我们介绍了如何隐藏Apache版本号和其他敏感信息。
我们讨论了如何从服务器生成的文档中将诸如Web服务器版本号,服务器操作系统详细信息,安装的Apache模块等等重要信息从服务器生成的文档中发送回客户端(可能是攻击者)。
在本文中,我们将向您展示另一个有用的Apache安全提示 - 将HTTP Web服务器名称更改为服务器头中的其他任何内容。
我们在这里是什么意思? 看看下面的屏幕截图,它显示了我们的Web服务器文档根目录中的一个列表,在此之下,您可以看到服务器签名(Web服务器名称,版本,操作系统,IP地址和端口)。
Apache目录列表
大多数时候,黑客使用Web服务器软件中的已知漏洞攻击您的网站或网络应用程序,因此更改Web服务器的名称使得他们难以了解您的系统上运行的服务器的类型。 关键是将名称“ Apache ”更改为其他内容。
这可以通过安装Apache mod_security模块来实现。
-------- On Debian/Ubuntu -------- $ sudo apt install libapache2-mod-security2 $ sudo a2enmod security2 -------- On CentOS/RHEL and Fedora -------- # yum install mod_security # dnf install mod_security
然后打开Apache配置文件。
$ sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu # vi /etc/httpd/conf/httpd.conf #RHEL/CentOS/Fedora
现在更改或添加以下这些行(确保将youcl_Web更改为您想要向客户端显示的任何其他事物)。
ServerTokens Full SecServerSignature “youcl_Web”
最后重新启动Web服务器。
$ sudo systemctl restart apache2 #Debian/Ubuntu # systemctl restart httpd #RHEL/CentOS/Fedora
现在使用curl命令再次验证页面,或从浏览器访问,以查看Web服务器名称已从Apache更改为youcl_Web 。
$ curl -I -L http://domain-or-ipaddress
目录的Apache列表
而已! 请查看以下与Apache Web服务器相关的文章。
- 如何查找MySQL,PHP和Apache配置文件
- 如何在Linux中更改默认的Apache'DocumentRoot'目录
- 如何检查在Linux中启用/加载哪些Apache模块?
- 13 Apache Web服务器安全和加固提示
在本文中,我们展示了如何将HTTP Web服务器名称更改为Linux中的服务器头文件中的其他任何内容。 使用下面的反馈表来添加您关于此主题的想法。