我怎麼能讓它看起來好像我沒有運行 Apache?我認為最好的方法是看起來好像它是另一種類型的 httpd,例如 lighthttpd 或 iis。我知道通過使用 mod_security 您可以將伺服器簽名更改為任何內容:
SecServerSignature "Microsoft IIS"
有人知道隱藏正在使用的 HTTPD 的其他技巧嗎?
答案1
為什麼要嘗試這個?
apache httpd 有很多明顯和不明顯的方式來展示自己。而是將時間花在真正的安全上。版本識別碼、庫存頁面、HTTP 標頭和載入的模組只是 Apache httpd 展示自身的一些方式。
運行 apache 並儘可能加載一些模組。將日誌傳送到另一台主機並進行即時日誌分析。
設計您的系統,確保 apache 的妥協不會導致直接存取您想要保護的任何內容。
答案2
有兩種方法。最簡單的方法是將其新增至您的 apache 設定檔:
ServerSignature Off
ServerTokens Prod
另一種是更改apache來源中的/src/include/httpd.h這個檔案。改變 :
#define SERVER_BASEVENDOR “Apache Group”
#define SERVER_BASEPRODUCT “Apache”
#define SERVER_BASEREVISION “”
到
define SERVER_BASEVENDOR: Microsoft
define SERVER_BASEPRODUCT: Microsoft-IIS
define SERVER_BASEREVISION: 5.0
然後重新編譯apache。
其他解決方案可能會退出,請嘗試在Google上搜尋「Apache橫幅偽造」。
答案3
從常見錯誤頁面(404、500 等)的樣式和內容可以看出 Apache 正在運作。指定您自己的。
答案4
正如霍爾斯特所說,你真的應該質疑為什麼你想掩飾你的主人。模糊性是一機制,但應該被假設為最弱的,因此只需要是更強大的安全架構中的一層。
我強烈建議您查看Apache 的 CIS 基準並實施任何可以在您的環境中使用的內容。網路安全中心基準測試與 NIST 一起經常被用作標準配置的基礎。這很棒,因為 Nessus 的專業來源包含用於與 CIS 基準進行比較的審核文件。此外,這使您走上了易於審核的標準配置之路,並大大降低了與嘗試充分管理多個不同系統相關的風險。
回到最初的問題,CIS Apache Benchmark v2.2 建議資訊外洩防護採用以下設置
ServerTokens Prod
ServerSignature Off