Как сделать так, чтобы казалось, что я не использую Apache? Я считаю, что лучше всего будет выглядеть так, как будто это другой тип httpd, например lighthttpd или iis. Я знаю, что с помощью mod_security вы можете изменить подпись сервера на что угодно:
SecServerSignature "Microsoft IIS"
Кто-нибудь знает другие уловки, позволяющие скрыть используемый HTTPD?
Зачем вам это нужно?
Существует так много очевидных и неочевидных способов раскрытия себя apache httpd. Вместо этого потратьте свое время на настоящую безопасность. Идентификаторы версий, стандартные страницы, заголовки HTTP и загруженные модули - это лишь некоторые из способов, которыми Apache httpd раскрывает себя.
Запустите apache с максимально возможным количеством загруженных модулей. Отправляйте выходы на другой хост и выполняйте анализ журналов в реальном времени.
Разработайте свою систему так, чтобы компрометация apache не приводила к прямому доступу к тому, что вы пытаетесь защитить.
Есть 2 способа. Самый простой - добавить это в конфигурационный файл apache:
ServerSignature Off
ServerTokens Prod
Другой - изменить этот файл /src/include/httpd.h в источнике apache. Изменить :
#define SERVER_BASEVENDOR “Apache Group”
#define SERVER_BASEPRODUCT “Apache”
#define SERVER_BASEREVISION “”
к
define SERVER_BASEVENDOR: Microsoft
define SERVER_BASEPRODUCT: Microsoft-IIS
define SERVER_BASEREVISION: 5.0
Затем перекомпилируйте apache.
Другие решения могут выходить, попробуйте "подделку баннера Apache" в Google.
Можно сказать, что Apache запускается, по стилю и содержанию стандартных страниц ошибок (404, 500 и т. Д.). Укажите свой.
Как заявил Холст, вы действительно должны задавать вопросы Зачем вы хотите скрыть своего хозяина. Неизвестность один механизм безопасности, но следует предполагать, что он самый слабый, и поэтому он должен быть только одним уровнем в гораздо более надежной архитектуре безопасности.
Я очень рекомендую ознакомиться с Тест СНГ для Apache и реализовать все, что можно использовать в вашей среде. Наряду с NIST тесты Center for Internet Security часто используются в качестве основы для стандартных конфигураций. И это здорово, поскольку профессиональный канал от Nessus включает файлы аудита для сравнения с контрольными показателями CIS. Более того, это направляет вас на путь к стандартной конфигурации, которую можно легко проверять, и значительно снижает риски, связанные с попытками адекватного управления множеством разнородных систем.
Возвращаясь к исходному вопросу, CIS Apache Benchmark v2.2 рекомендует следующие настройки для защиты от утечки информации
ServerTokens Prod
ServerSignature Off