it-swarm.com.de

Ändern Sie den HTTP-Header von Apache httpd "Server:"

Einer der HTTP-Header, die Apache httpd mit Antwortdaten zurücksendet, ist "Server". Zum Beispiel ist mein Webserver-Computer Arch Arch relativ aktuell. Es sendet Header zurück, die den folgenden sehr ähnlich sind:

HTTP/1.1 404 Not Found
Date: Thu, 10 Apr 2014 17:19:27 GMT
Server: Apache/2.4.9 (Unix)
Content-Length: 1149
Connection: close
Content-Type: text/html

Ich habe ServerSignature off im /etc/httpd/conf/httpd.conf, aber der Header "Server:" wird weiterhin angezeigt. Ich habe mit mod_headers experimentiert. Ich habe es aktiviert und einige Dinge ausprobiert:

<IfModule headers_module>
Header set ProcessingTime "%D"
Header set Server BigJohn
</IfModule>

Nach dem Stoppen und Starten von httpd mit der obigen Konfiguration enthalten die HTTP-Header so etwas wie ProcessingTime: 1523, aber die Kopfzeile "Server:" bleibt unverändert. Ich weiß also, dass "mod_headers" installiert und aktiviert ist und funktioniert, aber nicht so, wie ich es mir wünsche.

Ich sehe, dass etwas namens "mod_security" dies behauptet, aber ich möchte nicht den ganzen Rest des Gepäcks, das mod_security mit sich führt.

UPDATE:

Sobald Sie mod_security installiert, benötigen Sie nur wenige Anweisungen:

<IfModule security2_module>
SecRuleEngine on
ServerTokens Full
SecServerSignature "Microsoft-IIS/6.0"
</IfModule>

Das ist für mod_security 2.7.7

34
Bruce Ediger

Die Server-ID/der Token-Header wird durch die Anweisung " ServerTokens " gesteuert (bereitgestellt von mod_core). Abgesehen von der Änderung des Apache-HTTPD-Quellcodes oder der Verwendung des Moduls mod_security Gibt es keine andere Möglichkeit, den Server-ID-Header vollständig zu unterdrücken.

Mit dem Ansatz mod_security Können Sie alle Anweisungen/Funktionen des Moduls in der Datei modsecurity.conf Deaktivieren und nur die Direktive für die Server-Header-ID ohne zusätzliches "Gepäck" nutzen.

13
Chipster

mod_security ist großartig, aber Sie brauchen es nicht wirklich, um Ihr Ziel zu erreichen.

nachdem alle Mods in httpd.conf Sie können einfach die Header Ihrer Wahl deaktivieren.

Header unset Server

ServerSignature Off
ServerTokens Prod

http://httpd.Apache.org/docs/2.4/mod/core.html#serversignature

25
Matt Ryan

Aktualisieren Sie dies nur für Leute, die noch suchen. Ich hatte Probleme, die Serverzeile im HTTP-Header zu ändern. Dieser Rat sollte für Debian-Zweigstellen-Distributionen mit systemd und Apache 2.4.7 funktionieren. Insbesondere verwende ich Ubuntu Server LTS 14.04.03. Einige Ratschläge, die ich fand, waren zu tun

grep -Ri servertokens /etc/Apache2

Dies führte mich zu /etc/Apache2/conf-available/security.conf, wo sowohl ServerTokens als auch ServerSignature angegeben wurden. Daher wurden alle Änderungen, die ich an /etc/Apache2/Apache2.conf vorgenommen habe, durch die bereits in security.conf angegebenen Anweisungen überschrieben.

Ich habe einfach die Anweisungen in security.conf geändert und Apache hat angefangen zu arbeiten, wie ich wollte.

ServerTokens Prod
ServerSignature Off

Zum Thema "Header unset Server" habe ich einen Fehlerbericht gefunden, in dem die Apache-Entwickler sagten, dass das Problem nicht behoben werden kann. Anscheinend ist es für sie ein philosophisches Problem, obwohl die Spezifikation für HTTP/1.1, RFC 2616 teilweise von Tim Berners-Lee verfasst wurde und besagt, dass das Server-Tag optional ist.

Ich wollte das Server-Tag unbedingt auf "Unbekannt" setzen, um unsere Qualys-Scans glücklich zu machen. Also installierte ich mod_security, jetzt libapache2-modsecurity genannt, nach dieses DigitalOcean-Tutorial . Viel Glück, ich hoffe, ich habe allen zukünftigen Lesern geholfen.

14
slmaq

Ich habe etwas auf Oracle HTTP Server 11.1.1.9 (das auf Apache 2.2.22 basiert) getestet, das bis zu einem gewissen Grad für mich funktioniert hat.

Wenn Sie "ServerTokens" auf "none" setzen, wird der Headerwert "Server" anscheinend entfernt, obwohl der Header selbst in der Antwort weiterhin gesendet wird, aber jetzt einen Nullwert hat.

ServerTokens keine

Der Antwortheader würde folgendermaßen aussehen:

HTTP/1.1 200 OK

Datum: Montag, 28. Dezember 2015, 07:02:45 Uhr GMT

Server :

Letzte Änderung: So, 27. Dezember 2015, 07:29:13 GMT

.

.

1
Mohab Elsayed