„Security by obfuscation“, so heißt ein englisches Sprichwort. Es bedeutet „Sicherheit durch Verschleierung“. Gemeint ist: Sie (und Ihr Server) sind weniger angreifbar, wenn man nur wenige Details über das System erkennen kann. Zum Beispiel sendet der verbreitete Webserver Apache normalerweise bei jeder Antwort seine Versionsnummer mit. Das können Sie mit wenigen Einstellungen verhindern.
Um Apache beizubringen, weniger gesprächig zu sein, zeigen wir am Beispiel von Ubuntu, welche Einstellungen Sie ändern können. Voraussetzung ist in jedem Fall, dass Sie Administratorrechte für den Server haben.
Melden Sie sich, beispielsweise über SSH, auf Ihrem Server an.
Bearbeiten Sie die Datei /etc/apache2/conf.d/security.
Ändern Sie folgende Einstellungen:
- ServerTokens Prod
- ServerSignature Off
- TraceEnable Off
Nach dem Speichern der Datei starten Sie den Webserver-Daemon mit dem Befehl service apache2 reload neu – fertig. Ab sofort verrät Apache niemandem mehr, welche Version installiert ist.
