Apache2 : masquer la version de votre serveur web

par · Publié · Mis à jour

De l'extérieur, il est possible d'obtenir la version d'un serveur Apache2. Les hackers peuvent se servir de cette information afin d'exploiter les failles connues de la version en question. Il est donc intéressant de pouvoir masquer votre version d'Apache2.

Apache

Voici donc la manip' permettant de se protéger un peu.

 

Comment peut-on obtenir la version d'un serveur Apache2 ?

Il y a plusieurs moyens pour obtenir la version d'un serveur apache2. Le premier consiste à demander le chargement d'une page qui n'existe pas. La page d'erreur 404 par défaut du serveur web vous affichera alors un beau "Erreur 404 Not Found", puis en dessous, la version du serveur apache utilisée.

 

Une autre méthode consiste tout simplement à initier une connexion telnet vers le port 80 du serveur, et à demander l'affichage du Header. Bien sur, cela ne fonctionne pas toujours, cela peut dépendre notamment des règles de pare-feu du serveur...

 

Comment masquer la version ?

Pour masquer l'affichage de la version il faut bien évidemment passer par la conf d'Apache. Il convient donc ici d'éditer le fichier security se trouvant dans le dossier conf.d d'Apache2. Par défaut : /etc/apache2/conf.d

Éditez donc le fichier et remplacez 

ServerTokens OS

par

ServerTokens Prod

 

Puis dans le même fichier, mettre la variable ServerSignature à Off au lieu de On.

 

Et voilà, une petite sécurité de plus. Bien évidemment, une telle manipulation n’empêchera pas les attaques, mais disons que cela complique un peu la tâche des personnes malveillantes !

source

 

Partager la publication "Apache2 : masquer la version de votre serveur web"

  • Facebook
  • LinkedIn
  • Twitter
  • E-mail
  • Ajouter aux favoris

Étiquettes :

Sandstorm

Ingénieur Systèmes passionné d'informatique et de High-Tech, Sandstorm a créé JusteGeek.fr en 2013. Il aime les geekeries en tout genre. "Si un produit s'allume c'est un bon point. S'il est connecté, c'est encore mieux !"

Vous aimerez aussi...

5 réponses

  1. Sandstorm dit :
    13 avril 2016 à 12 h 52 min

    En complément, pour la version 2.4.10, le fichier à modifier est le fichier : /etc/apache2/conf-enabled/security.conf
    ++

    Répondre
  2. maco dit :
    18 septembre 2018 à 21 h 20 min

    Petite erreur ces ServerTokens Prod et non ServerToken Prod 🙂

    Répondre
  3. Mrdoc dit :
    30 janvier 2021 à 20 h 32 min

    Peut on faire cette manipulation du serveur quand on est chez un hébergeur tiers ?
    Si oui, c'est à partir du CPANEL ?

    Répondre
    • Sandstorm dit :
      31 janvier 2021 à 8 h 31 min

      Salut Mrdoc,
      La directive ServerTokens ne fonctionne à mon sens que dans le security.conf, donc je pense qu'avec un hébergement de site, tu n'as pas accès à ce fichier.
      En revanche il me semble que le ServerSignature peut fonctionner à travers le fichier .htaccess
      N'hésite pas à tester et à confirmer ou non 🙂
      ++

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.