gesprächige Webserver

PHP Portal » Blog » gesprächige Webserver

Login
- Registrierung
- Passwort vergessen
- Login Passwort
Optionen
Blog Archiv
- 11/2010
- 12/2009
- 09/2009
- 07/2009
- 06/2009
- 03/2009
- 11/2008
- 10/2008
- 08/2008
- 02/2008
Sonstiges
- Impressum
- Datenschutz
- Sitemap
- Partner
- Link setzen

gesprächige Webserver

04.03.2009 15:04 geschrieben von TBT

Heute schreibe ich mal etwas über die Standardeinstellungen eines Apache2 Webservers.

Der normale Antwort-Header eines Apache2 Webservers sieht ungefähr so aus:

Code

1
2
3
4
5
6
7
8
9
10
11
12

Date: Wed, 04 Mar 2009 13:45:46 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.6-1+lenny2 mod_ssl/2.2.3 OpenSSL/0.9.8c
X-Powered-By: PHP/5.2.6-1+lenny2
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Encoding: gzip
Vary: Accept-Encoding
Content-Length: 5573
Content-Type: text/html; charset=UTF-8

200 OK

ein potentieller Angreifer kann die rot markierten Informationen direkt für seinen Angriff nutzen. Er kann gleich sehen, ob eventuell eine angreifbare Version installiert ist. Um das schwieriger zu gestalten, schalten wir diese Informationen ab, und beschränken den Header auf das Nötigste.

Als erstes ändern wir in der Datei /etc/php5/apache2/php.ini

Code

1
2
3

expose=on
// in
expose=off

damit gibt das installierte PHP keinen extra Header mehr aus:

Code

1
2
3
4
5
6
7
8
9
10
11

Date: Wed, 04 Mar 2009 13:46:43 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.6-1+lenny2 mod_ssl/2.2.3 OpenSSL/0.9.8c
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Encoding: gzip
Vary: Accept-Encoding
Content-Length: 5573
Content-Type: text/html; charset=UTF-8

200 OK

Damit der Apache2 nicht mehr soviel erzählt, ändern wir in der Datei /etc/apache2/conf.d/security folgende Werte:

Code

1
2
3
4
5
6
7

ServerTokens Full
ServerSignature On
TraceEnable On
// nach
ServerTokens Prod
ServerSignature Off
TraceEnable Off

wodurch der Header sich auf folgendes reduziert:

Code

1
2
3
4
5
6
7
8
9
10
11

Date: Wed, 04 Mar 2009 13:46:43 GMT
Server: Apache
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Encoding: gzip
Vary: Accept-Encoding
Content-Length: 5573
Content-Type: text/html; charset=UTF-8

200 OK

Die Änderungen sind innerhalb 1 Minute erledigt, und bilden einen weiteren kleinen Baustein für einen sicheren Server

Kommentare

aktuell liegen noch keine Kommentare vor

Trackbacks

aktuell sind keine Trackbacks vorhanden

php2all Webdesign &
Programmierung

Werbung