Masquer la version de votre serveur web

Masquer la version de votre serveur web

De l'exterieur il est possible d'obtenir la version apache du serveur web en ligne. Une technique simple que peuvent utiliser les hackers afin d'exploiter les potentiels failles.

Une méthode simple et rapide pour sécuriser cette partie.

Obtenir la version apache du serveur
Plusieurs métodes possibles ...

La première méthode consiste à demander le chargement d'une page qui n'existe pas. La page d'erreur 404 par défaut du serveur web vous affichera alors un beau "Erreur 404 Not Found", puis en dessous, la version du serveur apache utilisée.

Une autre méthode consiste tout simplement à initier une connexion telnet vers le port 80 du serveur, et à demander l'affichage du Header. Bien sur, cela ne fonctionne pas toujours, cela peut dépendre notamment des règles de pare-feu du serveur...

Masquer la version
Vous devrez passer par la conf d'apache.
Sur debian
vi /etc/apache2/conf-available/security.conf

Modifier :

ServerToken OS par ServerToken PROD

Puis

ServerSignature ON par ServerSignature OFF

 

Puis :

/etc/init.d/apache2 restart
[ ok ] Restarting apache2 (via systemctl): apache2.service.

Vérification
Lancer l'url de votre site en ajoutant l'uri qui vous emmenera vers un 404

Et voilà !

Vous pourrez par la suite customiser le 404 pour obtenir une erreur un peu plus "jolie" 🙂