Защита веб-серверы Apache

Как вы знаете, Apache, услужливо показывает все ОС, которая установлена, ее версии и версии установленных модулей. Одним словом - почему мы? И уж тем более не нужно знать посторонним.

Так ,что теперь надо скрыть все данные. Нужно изменить конфигурационный файлик Apache:

[-hide-]CentOS/RHEL/Fedora

# vi /etc/httpd/conf/httpd.conf

Debian/Ubuntu

# vi /etc/apache2/conf.d/security

FreeBSD

# ee /usr/local/etc/apache22/httpd.conf

Находим следующии строчки:

ServerTokens OS (или Full)

ServerSignature On

и изменим их на следующии:

ServerTokens Prod

ServerSignature Off

Проверить результат можно при помощи команды curl и указав имя вашего сайта:

# curl -I www.test.ru

Скрываем заголовки.

Для управления заголовками требуется модуль mod_headers.

Заголовки, исходящие от браузера, управляются директивой RequestHeader. Например, можно изменить заголовок User-Agent, запретить передачу Referer и Cookie:

RequestHeader set User-Agent "Mozilla/5.0 (http://www.itpad.ru)"
RequestHeader unset Referer
RequestHeader unset Cookie

Заголовки, приходящие клиенту (браузеру), управляются директивой Header. Например, можно запретить cookie и спрятать от клиентов характеристики серверов:

Header unset Server
Header unset Set-Cookie

Хотя перегибать тут не надо.[-hide-]