Désactiver la signature d'Apache

Classé dans : Web | aucun commentaire

lundi 02 mai 2011

Apache, en cas d'erreur, affiche par défaut une signature complète en bas de page avec des infos qui pourraient s'avérer dangereuses :

Exemple sur Ubuntu 10.04 :

Apache/2.2.14 (Ubuntu) Server at 94.23.220.160 Port 80

On y apprend la version exacte du serveur, le port utilisé et parfois même la version de PHP. Ces infos peuvent être exploitées en cas de faille de sécurité.

On peut très facilement désactiver cette signature. Pour cela, il suffit d'ajouter les 2 lignes suivantes dans le fichier de configuration d'Apache (/etc/apache2/apache2.conf sur Ubuntu) :

ServerSignature Off
ServerTokens Prod

Il ne reste plus qu'à recharger le serveur :

/etc/init.d/apache2 reload


Ecrire un commentaire

Les commentaires sont modérés et je ne publie pas les messages à caractère publicitaire. Inutile donc de vous acharner ;-)




Quelle est la quatrième lettre du mot ijimme ? :