bogus indianer-version

[oleg]

Tach Forum!
Wie bzw. wo konfiguriere ich meinen Apache, dass er beim Aufruf übers Web keine oder die falsche Version anzeigt?
Hab so nen kleinen Security-Check mit Nessus gemacht und der schlägt mir folgendens vor:

Information found on port http (80/tcp)

The remote web server type is :

Apache/1.3.26 (Unix) Debian GNU/Linux

We recommend that you configure your web server to return
bogus versions, so that it makes the cracker job more difficult

[feltel]

Das ist die Einstellung "ServerSignature" in der /etc/apache/httpd.conf:

# Optionally add a line containing the server version and virtual host
# name to server-generated pages (error documents, FTP directory listings,
# mod_status and mod_info output etc., but not CGI generated documents).
# Set to "EMail" to also include a mailto: link to the ServerAdmin.
# Set to one of: On | Off | EMail
#
ServerSignature EMail

Eine falsche Versionsnummer wirst Du wahrscheinlich nur durch das Bearbeiten des Sourcecodes bekommen. Aber ich zweilfle am Erfolg, da die Versionsnummer auch für andere Zwecke genutzt wird, z.B. Überprüfung der Lauffähigkeit von Apache-Modulen etc.

[kox666]

Ist es denn wenigstens möglich, Apache diese "Gesprächigkeit" auszutreiben ?!?

Es muss doch möglich sein, ohne groß in den Sourcen zu fummeln das ausgeben der Versionsnummer übers Web zu deaktivieren, oder ?!?

[feltel]

Ja, eben über die ServerSignature-EInstellung

[Phil]

Security through Obscurity ist glaub das Stichwort. Imho schreckt es mehr ab wenn man Debian lesen kann, als wenn kein Reply/kein sinnvolles kommt.

[feltel]

Imho schreckt es mehr ab wenn man Debian lesen kann

Naja, so schlimm ist Debian nun auch wieder nich Aber natürlich hast Du recht, wenn man sein System immer schön aktuell hält, dann brauch man Systeminfos auch nicht verstecken. Sollen die sich doch die Zähne dran ausbeißen