Cara Menyembunyikan Nomor Versi Apache dan Info Sensitif Lainnya
Ketika permintaan jarak jauh dikirim ke server web Apache Anda, secara default, beberapa informasi berharga seperti nomor versi server web, detail sistem operasi server, modul Apache yang diinstal, dan lainnya, dikirim bersama dalam dokumen yang dibuat server kembali ke klien.
Baca Juga: Cara Menyembunyikan Versi Server Nginx di Linux
Ini adalah informasi yang bagus bagi penyerang untuk mengeksploitasi kerentanan dan mendapatkan akses ke server web Anda. Untuk menghindari menampilkan informasi server Web, kami akan menunjukkan di artikel ini cara menyembunyikan informasi Server Web Apache menggunakan arahan Apache tertentu.
Saran Baca: 13 Tip Berguna untuk Mengamankan Server Web Apache Anda
Dua arahan penting tersebut adalah:
ServerTanda Tangan
Yang memungkinkan penambahan baris footer yang menunjukkan nama server dan nomor versi di bawah dokumen yang dihasilkan server seperti pesan kesalahan, daftar direktori ftp mod_proxy, keluaran mod_info dan banyak lagi.
Ini memiliki tiga kemungkinan nilai:
- Aktif – yang memungkinkan penambahan baris footer tambahan pada dokumen yang dibuat server,
- Mati – menonaktifkan baris footer dan
- EMAil – membuat referensi “mailto:”; yang mengirimkan email ke ServerAdmin dari dokumen yang direferensikan.
ServerToken
Ini menentukan apakah bidang header respons server yang dikirim kembali ke klien berisi deskripsi jenis OS server dan informasi mengenai modul Apache yang diaktifkan.
Arahan ini memiliki kemungkinan nilai berikut (ditambah contoh info yang dikirim ke klien ketika nilai spesifik ditetapkan):
ServerTokens Full (or not specified)
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
Info sent to clients: Server: Apache
ServerTokens Major
Info sent to clients: Server: Apache/2
ServerTokens Minor
Info sent to clients: Server: Apache/2.4
ServerTokens Min[imal]
Info sent to clients: Server: Apache/2.4.2
ServerTokens OS
Info sent to clients: Server: Apache/2.4.2 (Unix)
Catatan: Setelah Apache versi 2.0.44, arahan ServerTokens juga mengontrol informasi yang ditawarkan oleh ServerSignature direktif.
Bacaan yang Disarankan: 5 Tips untuk Meningkatkan Kinerja Server Web Apache
Untuk menyembunyikan nomor versi server web, detail sistem operasi server, modul Apache yang terinstal, dan lainnya, buka file konfigurasi server web Apache Anda menggunakan editor favorit Anda:
sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
Dan tambahkan/modifikasi/tambahkan baris di bawah ini:
ServerTokens Prod
ServerSignature Off
Simpan file, keluar dan restart server web Apache Anda seperti:
sudo systemctl restart apache2 #SystemD
sudo service apache2 restart #SysVInit
Pada artikel ini, kami menjelaskan cara menyembunyikan nomor versi server web Apache ditambah banyak informasi lebih lanjut tentang server web Anda menggunakan arahan Apache tertentu.
Jika Anda menjalankan PHP di server web Apache Anda, saya sarankan Anda untuk Menyembunyikan Nomor Versi PHP.
Seperti biasa, Anda dapat menambahkan pemikiran Anda ke panduan ini melalui bagian komentar di bawah.