Apache2 : masquer la version de votre serveur web
De l'extérieur, il est possible d'obtenir la version d'un serveur Apache2. Les hackers peuvent se servir de cette information afin d'exploiter les failles connues de la version en question. Il est donc intéressant de pouvoir masquer votre version d'Apache2.
Voici donc la manip' permettant de se protéger un peu.
Comment peut-on obtenir la version d'un serveur Apache2 ?
Il y a plusieurs moyens pour obtenir la version d'un serveur apache2. Le premier consiste à demander le chargement d'une page qui n'existe pas. La page d'erreur 404 par défaut du serveur web vous affichera alors un beau "Erreur 404 Not Found", puis en dessous, la version du serveur apache utilisée.
Une autre méthode consiste tout simplement à initier une connexion telnet vers le port 80 du serveur, et à demander l'affichage du Header. Bien sur, cela ne fonctionne pas toujours, cela peut dépendre notamment des règles de pare-feu du serveur...
Comment masquer la version ?
Pour masquer l'affichage de la version il faut bien évidemment passer par la conf d'Apache. Il convient donc ici d'éditer le fichier security se trouvant dans le dossier conf.d d'Apache2. Par défaut : /etc/apache2/conf.d
Éditez donc le fichier et remplacez
ServerTokens OS
par
ServerTokens Prod
Puis dans le même fichier, mettre la variable ServerSignature à Off au lieu de On.
Et voilà, une petite sécurité de plus. Bien évidemment, une telle manipulation n’empêchera pas les attaques, mais disons que cela complique un peu la tâche des personnes malveillantes !
Partager la publication "Apache2 : masquer la version de votre serveur web"
En complément, pour la version 2.4.10, le fichier à modifier est le fichier : /etc/apache2/conf-enabled/security.conf
++
Petite erreur ces ServerTokens Prod et non ServerToken Prod 🙂
Oups ! Merci M'sieur 🙂 C'est corrigé !
Peut on faire cette manipulation du serveur quand on est chez un hébergeur tiers ?
Si oui, c'est à partir du CPANEL ?
Salut Mrdoc,
La directive ServerTokens ne fonctionne à mon sens que dans le security.conf, donc je pense qu'avec un hébergement de site, tu n'as pas accès à ce fichier.
En revanche il me semble que le ServerSignature peut fonctionner à travers le fichier .htaccess
N'hésite pas à tester et à confirmer ou non 🙂
++