De l'extérieur, il est possible d'obtenir la version d'un serveur Apache2. Les hackers peuvent se servir de cette information afin d'exploiter les failles connues de la version en question. Il est donc intéressant de pouvoir masquer votre version d'Apache2.
Voici donc la manip' permettant de se protéger un peu.
Comment peut-on obtenir la version d'un serveur Apache2 ?
Il y a plusieurs moyens pour obtenir la version d'un serveur apache2. Le premier consiste à demander le chargement d'une page qui n'existe pas. La page d'erreur 404 par défaut du serveur web vous affichera alors un beau "Erreur 404 Not Found", puis en dessous, la version du serveur apache utilisée.
Une autre méthode consiste tout simplement à initier une connexion telnet vers le port 80 du serveur, et à demander l'affichage du Header. Bien sur, cela ne fonctionne pas toujours, cela peut dépendre notamment des règles de pare-feu du serveur...
Comment masquer la version ?
Pour masquer l'affichage de la version il faut bien évidemment passer par la conf d'Apache. Il convient donc ici d'éditer le fichier security se trouvant dans le dossier conf.d d'Apache2. Par défaut : /etc/apache2/conf.d
Éditez donc le fichier et remplacez
ServerTokens OS
par
ServerTokens Prod
Puis dans le même fichier, mettre la variable ServerSignature à Off au lieu de On.
Et voilà, une petite sécurité de plus. Bien évidemment, une telle manipulation n’empêchera pas les attaques, mais disons que cela complique un peu la tâche des personnes malveillantes !
Partager la publication "Apache2 : masquer la version de votre serveur web"