Cómo ocultar información de nuestro servidor Apache

,
Ocultar informacion de nuestro servidor Apache

Por defecto, el servidor Apache2 al cargar páginas de error como “404 no encontrado” o “403 acceso prohibido” muestra información que puede ser relevante para un atacante. Por ejemplo, muestra la versión de Apache y del sistema operativo. Además cuando sirve páginas PHP, revela la versión de PHP usada. Para aprender a ocultar información sensible mostrada por el servidor Apache en los sistemas operativos Debian/Ubuntu y CentOS, sigue este tip que te muestro.

Desactivando las firmas del servidor Apache

La desactivación de las firmas del servidor Apache se puede realizar a través del archivo de configuración principal.

Firmas servidor Apache

Firmas servidor Apache

Para Debian y derivados usa el comando:

Para CentOS:

Luego debemos agregar las siguientes líneas al final del archivo en cuestión:

La línea “ServerSignature Off” oculta la versión de Apache en cualquier página de error. Por su parte, la línea “ServerTokens Prod” garantiza que no se muestre dicha información en las cabeceras de respuesta HTTP.

Finalmente debes reiniciar el servicio web. Para Debian y derivados, puedes hacerlo así:

Para Centos y derivados:

Ahora si pedimos una página de error, no se mostrará información relevante sobre nuestro servidor Apache:

Firmas ocultas servidor Apache2

Firmas ocultas de servidor Apache2

Ocultando la versión de PHP

Otra amenaza de seguridad potencial es cuando se muestra la versión de PHP que corre nuestro servidor web. Por defecto, Apache incluye la versión de PHP a través del campo “X-Powered-By” en las cabeceras de respuesta HTTP. Para ocultar esta información, debemos editar el archivo de configuración de PHP (php.ini) y cambiar la línea “expose_php = On” por “expose_php = Off”.

Emplea el siguiente comando para Debian y derivados:

En el caso de Ubuntu 16.04 LTS usa:

Para CentOS:

Finalmente reinicia el servicio web. Para Debian y derivados:

Para CentOS:

Ya sabes cómo ocultar información sensible sobre nuestro servidor web en los sistemas operativos Debian/Ubuntu y CentOS. Esto es verdaderamente útil y necesario para protegernos de posibles ataques que comprometen la seguridad de nuestro sistema.

 

 

1 comentario
  1. Manwy
    Manwy Dice:

    Muy buena la información. Justo lo que estaba buscando.

    En mi caso el expose_php ya lo tenía en Off, Pero lo del apache2.conf es lo que necesitaba.

    Un saludo.

    Responder

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *