Wie kann ich es so aussehen lassen, als würde ich Apache nicht ausführen? Ich denke, die beste Möglichkeit ist, es so aussehen zu lassen, als wäre es ein anderer Typ von httpd, wie lighthttpd oder iis. Ich weiß, dass Sie mit mod_security Ihre Serversignatur in alles Mögliche ändern können:
SecServerSignature "Microsoft IIS"
Kennt jemand andere Tricks, um das verwendete HTTPD zu verschleiern?
Antwort1
Warum würden Sie das versuchen?
Es gibt so viele offensichtliche und nicht offensichtliche Möglichkeiten, wie sich Apache httpd zu erkennen gibt. Verbringen Sie Ihre Zeit lieber mit echter Sicherheit. Versionskennungen, Bestandsseiten, HTTP-Header und geladene Module sind nur einige der Möglichkeiten, wie sich Apache httpd zu erkennen gibt.
Führen Sie Apache mit möglichst wenigen geladenen Modulen aus. Senden Sie Protokolle an einen anderen Host und führen Sie eine Protokollanalyse in Echtzeit durch.
Gestalten Sie Ihr System so, dass eine Kompromittierung von Apache nicht zu einem direkten Zugriff auf das führt, was Sie schützen möchten.
Antwort2
Es gibt zwei Möglichkeiten. Am einfachsten ist es, dies zu Ihrer Apache-Konfigurationsdatei hinzuzufügen:
ServerSignature Off
ServerTokens Prod
Die andere Möglichkeit besteht darin, diese Datei /src/include/httpd.h in der Apache-Quelle zu ändern. Änderung:
#define SERVER_BASEVENDOR “Apache Group”
#define SERVER_BASEPRODUCT “Apache”
#define SERVER_BASEREVISION “”
Zu
define SERVER_BASEVENDOR: Microsoft
define SERVER_BASEPRODUCT: Microsoft-IIS
define SERVER_BASEREVISION: 5.0
Dann kompilieren Sie Apache erneut.
Möglicherweise gibt es auch andere Lösungen. Versuchen Sie es mit „Apache Banner Faking“ bei Google.
Antwort3
Dass Apache ausgeführt wird, erkennt man am Stil und Inhalt der Standardfehlerseiten (404, 500 usw.). Geben Sie Ihre eigenen an.
Antwort4
Wie Holst sagte, sollten Sie wirklich hinterfragenWarumSie wollen Ihren Gastgeber verschleiern. Verschleierung isteinsMechanismus für die Sicherheit, sollte jedoch als der schwächste angesehen werden und muss als solcher nur eine Ebene in einer viel robusteren Sicherheitsarchitektur darstellen.
Ich empfehle Ihnen dringend, dieCIS-Benchmark für Apacheund implementieren Sie alles, was in Ihrer Umgebung verwendet werden kann. Neben NIST werden die Benchmarks des Center for Internet Security häufig als Grundlage für Standardkonfigurationen verwendet. Das ist großartig, da der Professional Feed von Nessus Prüfdateien zum Vergleich mit den CIS-Benchmarks enthält. Darüber hinaus sind Sie damit auf dem Weg zu einer Standardkonfiguration, die leicht geprüft werden kann und die Risiken, die mit dem Versuch verbunden sind, eine Vielzahl unterschiedlicher Systeme angemessen zu verwalten, erheblich senkt.
Um auf die ursprüngliche Frage zurückzukommen: Der CIS Apache Benchmark v2.2 empfiehlt die folgenden Einstellungen zum Schutz vor Informationslecks
ServerTokens Prod
ServerSignature Off