Cómo ocultar el número de versión de Apache y otra información sensible


Cuando se envían solicitudes remotas a su servidor web Apache, de manera predeterminada, cierta información valiosa como el número de versión del servidor web, los detalles del sistema operativo del servidor, los módulos instalados de Apache y más, se envían al cliente junto con documentos generados por el servidor.

Esta es una buena cantidad de información para que los atacantes exploten vulnerabilidades y obtengan acceso a su servidor web. Para evitar mostrar información sobre servidores web, en este artículo mostraremos cómo ocultar la información del servidor web Apache utilizando directivas específicas de Apache.

Las dos directivas importantes son:

Lo que permite agregar una línea de pie de página que muestre el nombre del servidor y el número de versión en los documentos generados por el servidor, como mensajes de error, listas de directorios mod_proxy ftp, salida mod_info y mucho más.

Tiene tres valores posibles:

  1. On – which allows the adding of a trailing footer line in server-generated documents,
  2. Off – disables the footer line and
  3. EMail – creates a “mailto:” reference; which sends a mail to the ServerAdmin of the referenced document.

Determina si el campo del encabezado de respuesta del servidor que se envía a los clientes contiene una descripción del tipo de sistema operativo del servidor y la información sobre los módulos Apache habilitados.

Esta directiva tiene los siguientes valores posibles (más información de muestra enviada a los clientes cuando se establece el valor específico):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix) 

rojo

Para ocultar el número de versión del servidor web, los detalles del sistema operativo del servidor, los módulos de Apache instalados y más, abra su archivo de configuración del servidor web Apache utilizando su editor favorito:

$ sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
$ sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems 

Y añada/modifique/agregue las siguientes líneas:

ServerTokens Prod
ServerSignature Off 

Guarde el archivo, salga y reinicie su servidor web Apache así:

$ sudo systemctl restart apache2  #SystemD
$ sudo service apache2 restart     #SysVInit

En este artículo, explicamos cómo ocultar el número de versión del servidor web Apache y mucha más información acerca de su servidor web usando ciertas directivas de Apache.

Si está ejecutando PHP en su servidor web Apache, le sugiero que oculte el número de versión de PHP.

Como de costumbre, puede agregar sus opiniones a esta guía a través de la sección de comentarios a continuación.