Par défaut, le serveur Apache Web affiche des informations sur la configuration du serveur Web sur les pages d`erreur HTTP, pour aider à déboguer les causes des erreurs. Bien que cette information est utile lorsque le suivi des problèmes, il est pas un comportement souhaitable sur un serveur Web de production.
Révéler les informations du serveur montre un attaquant potentiel la version Apache et les détails sur les modules supplémentaires qui ont été installés. Grâce à ces informations, l`attaquant peut rechercher des vulnérabilités connues spécifiques à cette version et éventuellement compromettre le serveur si les correctifs de sécurité ne sont pas à jour.
Ouvrez le fichier de configuration du serveur Web Apache dans un éditeur de texte, à partir du répertoire dans lequel Apache a été installé. Le fichier de configuration sera nommé "apache2.conf" ou "httpd.conf," en fonction de votre système d`exploitation et la version Apache.
Recherchez le paramètre nommé "ServerTokens," qui est généralement fixé à "Plein" par les informations de la version complète Apache par défaut et affiche. Modifier ce paramètre pour "Prod," qui affichera uniquement "Apache" et non le numéro de version du module ou de l`information.
Recherchez le paramètre "ServerSignature," qui est fixé à "Sur" par défaut. Modifier ce paramètre pour "De," qui arrêtera les informations du serveur d`être inclus sur les pages d`erreur HTTP.
Enregistrez le fichier et redémarrez Apache pour commencer à utiliser les nouveaux paramètres.
Vérifiez que Apache est plus afficher les informations de serveur en accédant à une page qui n`existe pas sur le serveur. Le serveur affiche un 404 "Page non trouvée" page d`erreur, et vous ne devrait plus être en mesure de voir toutes les informations sur la version du serveur et des modules.
