زمانیکه درخواست های ریموت به وب سرور Apache شما ارسال میشوند به صورت پیش فرض یکسری اطلاعات ارزشمند مانند ورژن وب سرور، جزئیات سیستم عامل سرور، ماژول های نصب شده آپاچی به همراه دیتای دیگر در داکیومنت هایی که توسط سرور ایجاد میشوند به کلاینت ارسال میشود.
همچنین توصیه میشود مطالعه کنید.
نحوه مخفی کردن ورژن وب سرور Nginx در لینوکس
نحوه مخفی کردن ورژن PHP در لینوکس
13 ترفند برای امنیت وب سرور آپاچی
5 نکته برای بالا بردن سرعت وب سرور آپاچی در لینوکس
این حجم از اطلاعات در حقیقت دیتای خوبی برای هکرها میباشد که میتوانند راحتر تست های نفوذ پذیری را روی سرورتان پیاده سازی کنند و به وب سرور شما دسترسی پیدا کنند. برای جلوگیری کردن از نمایش اطلاعات وب سرورتان ما شما را راهنمایی خواهیم کرد تا اطلاعات وب سرور آپاچی خود را با استفاده از تنظیمات مربوطه مخفی کنید.
دو بخش مهم برای این منظور به قرار زیر هستند :
ServerSignature
این آپشن اضافه کردن خط footer را میسر میسازد که این خط شامل نام سرور، ورژن آن میباشد که در داکیومنت های ایجاد شده توسط سرور مانند error message، لیست کردن دایرکتوری mod_proxy ftp، خروجی mod_info و همچنین موارد دیگر نمایش داده میشوند.
برای مشاهده ServerSignature میتوانید از دستور زیر روی سرور خود استفاده کنید.
برای این گزینه میتوان یکی از سه مقدار زیر را انتخاب کرد.
On : این گزینه امکان اضافه کردن یک خط فوتر در داکیومنت های ایجاد شده توسط سرور را امکان پذیر میسازد.
Off : خط فوتر را غیر فعال میکند.
Email : یک مرجع "mailto:" ایجاد میکند که یک ایمیل به ادمین سرور ارسال میکند.
ServerTokens
این گزینه مشخص میکند که آیا فیلد response header سرور که به کلاینت برگردانده میشود شامل توصیفی از نوع سیستم عامل سرور و اطلاعات درباره ماژول های فعال روی آپاچی باشد یا نباشد.
این قسمت از تنظیمات مقدارهای ممکن زیر را دارد (بعلاوه اینکه دیتای نمونه زمانیکه مقدار خاصی تعریف شود به کلاینت برگردانده میشود).
نکته : از ورژن 2.0.44 آپاچی به بعد، قسمت تنظیماتی ServerToken همچنین اطلاعات ارائه شده توسط قسمت ServerSignature را کنترل میکند.
برای پنهان کردن ورژن وب سرور، جزيیات سیستم عامل سرور و ماژول های نصب شده آپاچی و موارد دیگر فایل کانفیگ وب سرور آپاچی خود را با استفاده از ادیتور مورد علاقه خود باز کنید.
خط های زیر را در آن ایجاد/تغییر یا اضافه کنید.
فایل را ذخیره و از آن خارج شوید و وب سرور آپاچی تان را همانند زیر restart کنید.
بعد از ریستارت کردن سرویس apache مجددا با استفاده از دستور curl میتوانید بررسی کنید که آیا تغییرات اعمال شده یا خیر.
همانطور که از خروجی بالا مشاهده میکنید ما با موفقیت ورژن آپاچی خود را مخفی کردیم. در این مقاله ما نحوه مخفی کردن ورژن وب سرور آپاچی و همچنین اطلاعات بیشمار دیگری را درباره وب سرورتان توضیح دادیم.
اگر شما در وب سرور آپاچی خود PHP را اجرا کردید پیشنهاد میشود که ورژن php خود را نیز مخفی کنید.
مانند همیشه نظرات مفید شما باعث دلگرمی ماست.
همچنین توصیه میشود مطالعه کنید.
نحوه مخفی کردن ورژن وب سرور Nginx در لینوکس
نحوه مخفی کردن ورژن PHP در لینوکس
13 ترفند برای امنیت وب سرور آپاچی
5 نکته برای بالا بردن سرعت وب سرور آپاچی در لینوکس
این حجم از اطلاعات در حقیقت دیتای خوبی برای هکرها میباشد که میتوانند راحتر تست های نفوذ پذیری را روی سرورتان پیاده سازی کنند و به وب سرور شما دسترسی پیدا کنند. برای جلوگیری کردن از نمایش اطلاعات وب سرورتان ما شما را راهنمایی خواهیم کرد تا اطلاعات وب سرور آپاچی خود را با استفاده از تنظیمات مربوطه مخفی کنید.
دو بخش مهم برای این منظور به قرار زیر هستند :
ServerSignature
این آپشن اضافه کردن خط footer را میسر میسازد که این خط شامل نام سرور، ورژن آن میباشد که در داکیومنت های ایجاد شده توسط سرور مانند error message، لیست کردن دایرکتوری mod_proxy ftp، خروجی mod_info و همچنین موارد دیگر نمایش داده میشوند.
برای مشاهده ServerSignature میتوانید از دستور زیر روی سرور خود استفاده کنید.
کد PHP:
[root@localhost ~]# curl -I localhost
HTTP/1.1 200 OK
Date: Thu, 10 Jan 2019 18:33:31 GMT
Server: Apache/2.4.6 (CentOS) PHP/5.4.16
X-Powered-By: PHP/5.4.16
Content-Type: text/html; charset=UTF-8
[root@localhost ~]#
On : این گزینه امکان اضافه کردن یک خط فوتر در داکیومنت های ایجاد شده توسط سرور را امکان پذیر میسازد.
Off : خط فوتر را غیر فعال میکند.
Email : یک مرجع "mailto:" ایجاد میکند که یک ایمیل به ادمین سرور ارسال میکند.
ServerTokens
این گزینه مشخص میکند که آیا فیلد response header سرور که به کلاینت برگردانده میشود شامل توصیفی از نوع سیستم عامل سرور و اطلاعات درباره ماژول های فعال روی آپاچی باشد یا نباشد.
این قسمت از تنظیمات مقدارهای ممکن زیر را دارد (بعلاوه اینکه دیتای نمونه زمانیکه مقدار خاصی تعریف شود به کلاینت برگردانده میشود).
کد PHP:
ServerTokens Full (or not specified)
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
Info sent to clients: Server: Apache
ServerTokens Major
Info sent to clients: Server: Apache/2
ServerTokens Minor
Info sent to clients: Server: Apache/2.4
ServerTokens Min[imal]
Info sent to clients: Server: Apache/2.4.2
ServerTokens OS
Info sent to clients: Server: Apache/2.4.2 (Unix)
نکته : از ورژن 2.0.44 آپاچی به بعد، قسمت تنظیماتی ServerToken همچنین اطلاعات ارائه شده توسط قسمت ServerSignature را کنترل میکند.
برای پنهان کردن ورژن وب سرور، جزيیات سیستم عامل سرور و ماژول های نصب شده آپاچی و موارد دیگر فایل کانفیگ وب سرور آپاچی خود را با استفاده از ادیتور مورد علاقه خود باز کنید.
کد PHP:
$ sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems
$ sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
کد PHP:
ServerTokens Prod
ServerSignature Off
کد PHP:
$ sudo systemctl restart apache2 #SystemD
$ sudo service apache2 restart #SysVInit
کد PHP:
# curl -I localhost
HTTP/1.1 200 OK
Date: Thu, 10 Jan 2019 18:45:30 GMT
Server: Apache
X-Powered-By: PHP/5.4.16
Content-Type: text/html; charset=UTF-8
اگر شما در وب سرور آپاچی خود PHP را اجرا کردید پیشنهاد میشود که ورژن php خود را نیز مخفی کنید.
مانند همیشه نظرات مفید شما باعث دلگرمی ماست.