Apache2 : masquer la version de votre serveur web

De l'extérieur, il est possible d'obtenir la version d'un serveur Apache2. Les hackers peuvent se servir de cette information afin d'exploiter les failles connues de la version en question. Il est donc intéressant de pouvoir masquer votre version d'Apache2.

Apache

Voici donc la manip' permettant de se protéger un peu.

 

Comment peut-on obtenir la version d'un serveur Apache2 ?

Il y a plusieurs moyens pour obtenir la version d'un serveur apache2. Le premier consiste à demander le chargement d'une page qui n'existe pas. La page d'erreur 404 par défaut du serveur web vous affichera alors un beau "Erreur 404 Not Found", puis en dessous, la version du serveur apache utilisée.

 

Une autre méthode consiste tout simplement à initier une connexion telnet vers le port 80 du serveur, et à demander l'affichage du Header. Bien sur, cela ne fonctionne pas toujours, cela peut dépendre notamment des règles de pare-feu du serveur...

 

Comment masquer la version ?

Pour masquer l'affichage de la version il faut bien évidemment passer par la conf d'Apache. Il convient donc ici d'éditer le fichier security se trouvant dans le dossier conf.d d'Apache2. Par défaut : /etc/apache2/conf.d

Éditez donc le fichier et remplacez 

ServerTokens OS

par

ServerTokens Prod

 

Puis dans le même fichier, mettre la variable ServerSignature à Off au lieu de On.

 

Et voilà, une petite sécurité de plus. Bien évidemment, une telle manipulation n’empêchera pas les attaques, mais disons que cela complique un peu la tâche des personnes malveillantes !

source

 

Steven

Ingénieur Systèmes passionné d'informatique et de High-Tech, Sandstorm a créé JusteGeek.fr en 2013. Il aime les geekeries en tout genre. "Si un produit s'allume c'est un bon point. S'il est connecté, c'est encore mieux !"

Vous aimerez aussi...

5 réponses

  1. Sandstorm dit :

    En complément, pour la version 2.4.10, le fichier à modifier est le fichier : /etc/apache2/conf-enabled/security.conf
    ++

  2. maco dit :

    Petite erreur ces ServerTokens Prod et non ServerToken Prod 🙂

  3. Mrdoc dit :

    Peut on faire cette manipulation du serveur quand on est chez un hébergeur tiers ?
    Si oui, c'est à partir du CPANEL ?

    • Sandstorm dit :

      Salut Mrdoc,
      La directive ServerTokens ne fonctionne à mon sens que dans le security.conf, donc je pense qu'avec un hébergement de site, tu n'as pas accès à ce fichier.
      En revanche il me semble que le ServerSignature peut fonctionner à travers le fichier .htaccess
      N'hésite pas à tester et à confirmer ou non 🙂
      ++

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.