কীভাবে সার্ভার অপসারণ করবেন: অ্যাপাচি সহ HTTP প্রতিক্রিয়া থেকে শিরোনাম?

20

আমি লাইনটি সরাতে চাই:

Server: Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch mod_ssl/2.2.8 OpenSSL/0.9.8g

আমার সার্ভারের এইচটিটিপি প্রতিক্রিয়াগুলি থেকে, তবে আমি include/ap_release.hনিজেকে অ্যাপাচি সংশোধন ও সংকলন করা ছাড়া আর কিছুই খুঁজে পাচ্ছি না । আমি ভাবছিলাম এমন কোনও উপায় আছে যা আমি জানি না?

apache-http-server 
নিও
সূত্র

উত্তর:

16

আপনি মোডসিকিউরিটি ওপেন সোর্স ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল ব্যবহার করে এইচটিটিপি -শিরোনাম থেকে সার্ভার শনাক্তকরণটি সরিয়ে বা মাস্ক করতে পারেন ।

সার্ভার পরিচয় মাস্কিং

একটি কৌশল যা প্রায়শই আস্তে আস্তে আক্রমনকারীদের ধীরে ধীরে এবং বিভ্রান্ত করতে সহায়তা করে তা হ'ল ওয়েব সার্ভার পরিচয় পরিবর্তন। ওয়েব সার্ভারগুলি সাধারণত সার্ভার শিরোনামে প্রতিটি HTTP প্রতিক্রিয়া সহ তাদের পরিচয় পাঠায়। অ্যাপাচি এখানে বিশেষভাবে সহায়ক, এটির নাম এবং সম্পূর্ণ সংস্করণটি কেবল ডিফল্টরূপে প্রেরণ করা হয় না, তবে এটি সার্ভার মডিউলগুলিকেও তাদের সংস্করণগুলিকে সংযোজন করতে সহায়তা করে।

অ্যাপাচি ওয়েব সার্ভারের পরিচয় পরিবর্তন করতে আপনাকে সোর্স কোডে যেতে হবে, "অ্যাপাচি" নামটি হার্ড-কোডড কোথায় রয়েছে তা খুঁজে বের করুন এবং এটি সার্ভারটি পুনরায় সংকলন করুন। একই প্রভাব ব্যবহার করে অর্জন করা যেতে পারে

SecServerSignature নির্দেশ:

SecServerSignature "Microsoft-IIS/5.0"

এটি লক্ষ করা উচিত যে এটি বেশ ভাল কাজ করে তবে দক্ষ আক্রমণকারীরা (এবং সরঞ্জামগুলি) ওয়েব সার্ভারকে "ফিঙ্গারপ্রিন্ট" করতে অন্যান্য কৌশল ব্যবহার করতে পারে। উদাহরণস্বরূপ, ডিফল্ট ফাইল, ত্রুটি বার্তা, বহির্গামী শিরোনামগুলির ক্রম, সার্ভারটি নির্দিষ্ট অনুরোধগুলিতে যেভাবে প্রতিক্রিয়া জানায় এবং অনুরূপ - সমস্তই সত্য পরিচয় দিতে পারে। আমি ভবিষ্যতে মোড_সিকিউরিটির প্রকাশে পরিচয় মুখোশ দেওয়ার পক্ষে সমর্থন আরও বাড়িয়ে দেখব।

যদি আপনি অ্যাপাচি স্বাক্ষর পরিবর্তন করেন তবে ত্রুটি লগের মধ্যে আপনি অদ্ভুত বার্তাটি দ্বারা বিরক্ত হন (কিছু মডিউল এখনও দৃশ্যমান - এটি কেবল ত্রুটি লগকে প্রভাবিত করে, বাইরে থেকে এটি এখনও প্রত্যাশার মতো কাজ করে):

[Fri Jun 11 04:02:28 2004] [notice] Microsoft-IIS/5.0 mod_ssl/2.8.12 OpenSSL/0.9.6b \ configured -- resuming normal operations

তারপরে ক্রুটিংয়ের জন্য ঠিক যেমনটি বর্ণিত হয়েছে ঠিক তেমনিভাবে মোড_সিকিউরিটি শেষের দিকে চালিত হওয়ার জন্য মডিউলগুলি লোডিং অর্ডারটি পুনরায় সাজানো উচিত।

বিঃদ্রঃ

এই নির্দেশিকাটির কাজ করার জন্য আপনাকে অবশ্যই সার্ভার টোকেনগুলি সম্পূর্ণ / ছেড়ে যেতে হবে।

যখন SecServerSignature নির্দেশটি সর্বজনীন সার্ভার স্বাক্ষর পরিবর্তনের জন্য ব্যবহৃত হয়, মোডসিকিউরিটি ত্রুটি লগটিতে আসল স্বাক্ষরটি লিখতে শুরু করে, আপনাকে ওয়েব সার্ভার এবং ব্যবহৃত মডিউল সনাক্ত করতে দেয়।

উত্স: মোডসিকিউরিটি রেফারেন্স ম্যানুয়াল

Chris_O
সূত্র
এটি এখনই চলছে তবে আমি মনে করি যে অন্য একটি বিদ্যমান সার্ভারনেম ব্যবহার করা স্মার্ট নয় কারণ আপনি আক্রমণ ক্রিয়াকলাপটি ট্রিগার করতে পারেন।
কোডবিট
27

আপনি যদি ServerTokens" Prod" সেট করে থাকেন , আপনি হেডারকে " Server: Apache" এ হ্রাস করতে পারেন । বিকল্পগুলির সম্পূর্ণ তালিকার জন্য ডকুমেন্টেশন দেখুন:

অ্যাপাচি ২.২ এর জন্য ডকুমেন্টেশন

অ্যাপাচি ২.৪ এর জন্য ডকুমেন্টেশন

দ্রষ্টব্য: উভয় সংস্করণে সেটিংস একই রকম তবে ২.৪ ডকুমেন্টেশন এই নোটটি যুক্ত করে:

সার্ভার টোকেনকে ন্যূনতমের চেয়ে কম সেট করার প্রস্তাব দেওয়া হয় না কারণ এটি আন্তঃব্যবস্থার সমস্যাগুলি ডিবাগ করা আরও কঠিন করে তোলে। এছাড়াও খেয়াল করুন যে সার্ভারটি অক্ষম করা: শিরোনামটি আপনার সার্ভারটিকে আরও সুরক্ষিত করার জন্য কিছুই করে না। "অস্পষ্টতার মাধ্যমে সুরক্ষা" ধারণাটি একটি পৌরাণিক কাহিনী এবং এটি সুরক্ষার মিথ্যা অনুভূতির দিকে পরিচালিত করে।

আপনি যদি "অ্যাপাচি" শব্দটি পুরোপুরি মুছে ফেলতে চান তবে আপনাকে উত্সটি সংশোধন করতে হবে।

user1686
সূত্র
উত্তরের জন্য +1 টিএনএক্স, আমি এই বিষয়ে সচেতন ছিলাম এমন প্রশ্নের মধ্যে উল্লেখ করতে ভুলে গিয়েছিলাম তবে আমি এটি মাইক্রোসফ্ট আইআইএস বা কিছু বলতে চাই। আমার এটা পরিষ্কার করা উচিত ছিল।
নিও
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.