Apache und die Server-Signatur

Trotz "ServerSignature off" in den *.conf-Dateien wird in den Fehlerseiten (z.B. 404er) des Apache2 die Signatur mit Versionsangabe angezeigt. Das liegt daran, dass - wenn Sie keine eigenen Fehlerseiten definiert haben - die Standard-Fehlerseiten des Apache Verwendung finden.

Diese liegen bei mir (vServer unter SuSE 9.3) unter /usr/share/apache2/error. Die dort definierten Fehlerseiten binden die Dateien aus dem Unterverzeichnis ./include ein und dort findet sich die Datei "bottom.html". In dieser steht zwischen den Tags "" der entsprechende HTML-Code zur Ausgabe der Serversignature.

Sie sollten die Zeile

<!--#echo var="SERVER_SOFTWARE" -->

am besten löschen, nachdem Sie sich eine Sicherheitskopie der bottom.html angefertigt haben.

Wenn Sie aber eher dem Prinzip security by obscurity anhängen, können Sie statt der o.a. Ausgabe auch den festen Text "Apache 1.3.5" eintragen. Scriptkiddies mag man dadurch auf eine falsche Fährte locken.

BTW: Ich kenne einige, die bauen sich die Fehlerseiten des IIS in ihren Indianer ein ;-)

Und falls Sie sich fragen, was das Ganze soll: Mittels eines Port-Scanners kann man die auf einem Rechner bzw. Server im Internet verfügbaren Dienste überprüfen. Falls es für einen Dienst (hier z.B. der Apache-Web-Server) ein Einfallstor (Exploit) gibt, der für eine bestimmte Version gültig ist, erleichtern Sie dem Scanner nur die Arbeit, werden also umso schneller bzw. leichter Opfer eines Hacker-Angriffs.