Apache2 : masquer la version de votre serveur web

De l'extérieur, il est possible d'obtenir la version d'un serveur Apache2. Les hackers peuvent se servir de cette information afin d'exploiter les failles connues de la version en question. Il est donc intéressant de pouvoir masquer votre version d'Apache2.

Apache

Voici donc la manip' permettant de se protéger un peu.

 

Comment peut-on obtenir la version d'un serveur Apache2 ?

Il y a plusieurs moyens pour obtenir la version d'un serveur apache2. Le premier consiste à demander le chargement d'une page qui n'existe pas. La page d'erreur 404 par défaut du serveur web vous affichera alors un beau "Erreur 404 Not Found", puis en dessous, la version du serveur apache utilisée.

 

Une autre méthode consiste tout simplement à initier une connexion telnet vers le port 80 du serveur, et à demander l'affichage du Header. Bien sur, cela ne fonctionne pas toujours, cela peut dépendre notamment des règles de pare-feu du serveur...

 

Comment masquer la version ?

Pour masquer l'affichage de la version il faut bien évidemment passer par la conf d'Apache. Il convient donc ici d'éditer le fichier security se trouvant dans le dossier conf.d d'Apache2. Par défaut : /etc/apache2/conf.d

Éditez donc le fichier et remplacez 

ServerTokens OS

par

ServerTokens Prod

 

Puis dans le même fichier, mettre la variable ServerSignature à Off au lieu de On.

 

Et voilà, une petite sécurité de plus. Bien évidemment, une telle manipulation n’empêchera pas les attaques, mais disons que cela complique un peu la tâche des personnes malveillantes !

source

 

Sandstorm

Sandstorm

Ingénieur Systèmes passionné d'informatique et de High-Tech, Sandstorm a créé JusteGeek.fr en 2013. Il aime les geekeries en tout genre.

Vous aimerez aussi...

3 réponses

  1. Sandstorm Sandstorm dit :

    En complément, pour la version 2.4.10, le fichier à modifier est le fichier : /etc/apache2/conf-enabled/security.conf
    ++

  2. Avatar maco dit :

    Petite erreur ces ServerTokens Prod et non ServerToken Prod 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.