Apache: Museler un serveur trop bavard, pour sa propre sécurité.

Par défaut, le serveur Apache est assez verbeux sur qui il est et ce qu’il sert. Si on regarde de plus près le header renvoyé par le serveur lors de l’appel à une page web, on obtient un truc du genre:

HTTP/1.1 200 OK
Date: Mon, 12 Aug 2013 19:59:37 GMT
Server: Apache/2.0.55 (Debian) PHP/5.1.2-1+b1 mod_ssl/2.0.55 OpenSSL/0.9.8b
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

Avec ces informations sur la version du serveur Apache utilisé ainsi que la version de PHP, il est facile pour une personne de mal intentionnée de tester toutes les failles connues pour cette version d’Apache et de PHP dans le simple but de vous nuire…

 

Pour être un peu plus silencieux sur le sujet, dans le fichier /etc/apache2/conf.d/security, on peut modifier la configuration telle que:

ServerTokens Prod
ServerSignature Off

 

Pour ce qui est de PHP, dans le fichier /etc/php5/apache2/php.ini, on peut modifier la configuration telle que:

expose_php Off

Il suffit maintenant de redémarrer le serveur Apache. Le même header devrait maintenant retourne quelque chose du genre:

HTTP/1.1 200 OK
Date: Mon, 12 Aug 2013 20:02:38 GMT
Server: Apache
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *