Apache en popüler web sunucularından biridir, ancak varsayılan yapılandırması birçok Linux dağıtımında şüpheli seçenekler içerir. Apache, belirli sürümünün ve üzerinde çalıştığı platformun, saldırganlar için değerli olabilecek bilgilerin reklamını yapma eğilimindedir.
Bu hızlı makale, sunucunuzu korumaya yardımcı olmak için bu çıktıyı nasıl devre dışı bırakacağınızı gösterecektir. Genellikle aktif olması için bir neden yoktur ve onu kapatmak sadece bir dakika sürer.
Sorun ne?
İşte bir dizin indeksi gösteren yeni bir Apache 2.4 kurulumu:
Sayfanın altbilgisi, Apache sürüm kodunu, işletim sistemi adını ve sunucunuzun dahili IP adresini ve bağlantı noktası numarasını gösterir.
Bunlar potansiyel olarak hassas ayrıntılardır. Apache’deki sıfır gün güvenlik açığı yalnızca küçük bir sürüm aralığını etkileyebilir. Bu çıkışı açık bırakarak, makinenizin risk altında olup olmadığını tüm dünyaya göstermiş olursunuz. Bu, saldırganların ana makinenizi potansiyel bir hedef olarak tanımlamasını çok daha kolaylaştırır.
Apache, bu verilere “sunucu imzası” adını verir. Dizin dizin sayfalarıyla sınırlı değildir: sürüm kodu, içindeki her HTTP yanıtına dahil edilir. Server başlık:
Yanıtın durum kodundan bağımsız olarak mevcut olacaktır. Saldırganlar, geçerli bir URL bilip bilmemelerine bakılmaksızın, sunucunuza bir istek göndererek tam Apache sürümünüzü bulabilir.
Sunucu İmzasını Devre Dışı Bırakma
Bu istenmeyen çıktıyı devre dışı bırakmanın iki bölümü vardır. Birincisi ServerSignature Apache yapılandırma dosyanızdaki değer. Bu dosyanın konumu değişir; /etc/apache2/apache2.conf ve /usr/local/apache2/conf/httpd.conf iki yaygın olasılıktır. bu ServerSignature yönerge içeride de desteklenir .htaccess web kökünüzdeki dosyalar.
Yönergeyi şu şekilde ayarlayın: Off sunucu tarafından oluşturulan web sayfalarında görünen imzayı devre dışı bırakmak için:
ServerSignature Off
Değişikliği uygulamak için Apache’yi yeniden başlatın:
$ sudo service apache2 restart
Bu, dizin listelerini, Apache’nin varsayılan hata sayfalarını ve sunucu tarafından üretilen diğer HTML çıktılarını etkiler. Off imza satırını tamamen kaldırır. Ayar isteğe bağlı olarak üçüncü bir değeri destekler, EMailtarafından tanımlanan adrese bir e-posta göndermek için bir bağlantı sağlar. ServerAdmin:
ServerAdmin [email protected] ServerSignature EMail
Bu, Apache sürüm bilgilerini e-posta bağlantısıyla değiştirir.
Sunucu Belirteçlerini Yönetme
içeriği Server yanıt başlığı farklı bir ayar tarafından kontrol edilir, ServerTokens. Bu, yalnızca sunucunuzun genel yapılandırma dosyası tarafından ayarlanabilir. İçeride desteklenmiyor .htaccess Dosyalar.
Varsayılan değer Full bu, yukarıdaki örnekte gözlemlenen kesin sürüm dizesini ve işletim sistemi adını sunar. Bu aynı zamanda yüklenen modüllerin ve PHP gibi CGI içerik motorlarının sürüm numaralarını da içerebilir.
Aşağıdaki alternatif değerler desteklenir:
Full–Apache/2.4.2 (Ubuntu)Prod–ApacheMajor–Apache/2Minor–Apache/2.4Min–Apache/2.4.2OS– İle aynıFullancak yüklü modüller hakkında bilgi olmadan
bu Prod seçim en güvenli değerdir. olarak düşünebilirsiniz Productionaslında kısa olmasına rağmen ProductOnly. Bu sunucu belirteci şu anlama gelir: Server başlık, sürüm hakkında herhangi bir ek bilgi olmadan yalnızca Apache kullandığınızı gösterir. Saldırganların, kurulumunuzdaki istismar edilebilir güvenlik açıklarını bulmak için daha fazla deneme yanılma araştırması yapması gerekecek.
Maalesef kaldırmanın bir yolu yok Server tamamen başlık. Apache aslında onu devre dışı bırakmanın “sunucunuzu daha güvenli hale getirmek için hiçbir şey yapmadığını” iddia ediyor ve kullanılmasını öneriyor. Min interoperasyonel problemlerde hata ayıklamayı kolaylaştırmak için.
Ancak çoğu insan asla tüketmez. Server üstbilgi ve sisteminiz hakkında mümkün olan en az bilginin reklamını yapmak her zaman en güvenlisidir. Güvenlik açıklarından yararlanılmasını engellemese de, ServerTokens Prod saldırganları spekülatif girişimlerde bulunmaktan caydırabilir. Ayrıca, yoldan geçenlerin teknoloji yığınınızın iç işleyişinin ayrıntılarını toplamasını da zorlaştıracaktır. Sadece küçük bir sertleşme ama bir gün ihtiyacınız olan fark olabilir.
PHP’ye Ne Dersiniz?
Apache, genellikle PHP tarafından desteklenen web sitelerinin ve uygulamaların önünde kullanılır. Ne yazık ki PHP’nin kendi sürüm numarasını internete verme alışkanlığı vardır. içinde görünecek X-Powered-By PHP kodunuz tarafından gönderilen yanıtların başlığı.
PHP yapılandırma dosyanızı aşağıdaki satırla değiştirerek bunu kapatabilirsiniz:
expose_php = Off
Yapılandırma dosyası genellikle şurada bulunabilir: /etc/php/8.1/apache2/php.ini. Yer değiştirmek 8.1 kullandığınız PHP sürümüyle. Değişikliği uygulamak için web sunucunuzu yeniden başlatmanız gerekecek.
Özet
Apache’nin varsayılan yapılandırması, sunucunuzun kesin sürüm numarasının yanı sıra işletim sistemi ve IP adresini gösterir. Bu görünüşte zararsız bilgiler, savunmasız sunucular arayan saldırganlara yardım eli uzatabilir.
Sunucu imzasını kapatmak, ortamınızı sertleştirmenin hızlı bir yoludur. Aynı zamanda yığınınızdaki diğer yazılımlardan kaynaklanan benzer bilgilere maruz kalma durumunu ele almak da iyi bir fikirdir. PHP ve bazı web çerçeveleri benzer güvenlik açıklarıyla birlikte gelir.