Recherche de site Web

Comment changer le nom du serveur Apache en n'importe quoi dans les en-têtes du serveur

Dans l'un de nos nombreux articles relatifs à la sécurité du serveur Apache et aux conseils de renforcement, nous avons expliqué comment masquer le numéro de version d'Apache et d'autres informations sensibles.

Nous avons expliqué comment empêcher que des informations précieuses telles que le numéro de version du serveur Web, les détails du système d'exploitation du serveur, les modules Apache installés et bien plus encore ne soient renvoyées au client (éventuellement des attaquants) dans des documents générés par le serveur.

Dans cet article, nous allons vous montrer encore un autre conseil de sécurité Apache utile : remplacer le nom du serveur Web HTTP par n'importe quel autre nom dans l'en-tête du serveur.

Que voulons-nous réellement dire ici ? Jetez un œil à la capture d'écran ci-dessous, elle montre une liste de répertoires dans la racine du document de notre serveur Web, en dessous, vous pouvez voir la signature du serveur (nom du serveur Web, version, système d'exploitation, adresse IP et port).

La plupart du temps, les pirates informatiques utilisent des vulnérabilités connues dans les logiciels de serveur Web pour attaquer vos sites Web ou vos applications Web. Par conséquent, changer le nom de votre serveur Web leur rend difficile de connaître le type de serveur exécuté sur votre système. Le but est de changer le nom « Apache » en quelque chose d'autre.

Ceci peut être réalisé en installant le module Apache mod_security.

-------- On Debian/Ubuntu -------- 
sudo apt install libapache2-mod-security2
sudo a2enmod security2

-------- On CentOS/RHEL and Fedora --------
yum install mod_security
dnf install mod_security

Ouvrez ensuite le fichier de configuration Apache.

sudo vi /etc/apache2/apache2.conf	#Debian/Ubuntu 
vi /etc/httpd/conf/httpd.conf	        #RHEL/CentOS/Fedora

Maintenant, modifiez ou ajoutez ces lignes ci-dessous (assurez-vous de remplacer TecMint_Web par tout autre élément que vous souhaitez afficher aux clients).

ServerTokens Full
SecServerSignature “Tecmint_Web”

Enfin, redémarrez le serveur Web.

sudo systemctl restart apache2   #Debian/Ubuntu 
systemctl restart httpd          #RHEL/CentOS/Fedora

Maintenant, vérifiez à nouveau la page à l'aide de la commande curl ou en y accédant depuis le navigateur pour voir que le nom du serveur Web est passé de Apache à Tecmint_Web.

curl -I -L http://domain-or-ipaddress

C'est ça! Consultez les articles suivants liés au serveur Web Apache.

  1. Protégez Apache contre les attaques par force brute ou DDoS à l'aide de Mod_Security
  2. Comment trouver les fichiers de configuration MySQL, PHP et Apache
  3. Comment modifier le répertoire Apache « DocumentRoot » par défaut sous Linux
  4. Comment vérifier quels modules Apache sont activés/chargés sous Linux
  5. 13 Conseils de sécurité et de renforcement du serveur Web Apache

Dans cet article, nous avons montré comment remplacer le nom du serveur Web HTTP par autre chose dans l'en-tête du serveur sous Linux. Utilisez le formulaire de commentaires ci-dessous pour ajouter vos réflexions sur ce sujet.