Comment masquer les informations de son serveur
Pour vivre heureux vivons cachés et c’est encore plus vrai lorsque l’on est un serveur web!
Mais qu’est ce qu’il nous raconte? Je m’explique: comme pour pas mal de choses, moins vous donnerez d’information, plus vous serez protégé.
Dans le cas de notre serveur, nous avons donc tout intérêt à cacher les informations, telles que la version de l’os ou la version d’apache, qui pourraient être utilisées contre lui lors d’une attaque.
Pourquoi ces informations sont-elles dangereuses? Celà permet par exemple de voir si votre système est à jour et dans le cas contraire, de vérifier s' il existe une faille de sécurité connue pour votre version.
Vous comprendrez donc que non ça ne vous empêchera pas de subir une attaque mais celà la rendra plus difficile et c’est déjà mieux que rien.
Passons aux travaux pratiques et vous allez voir, ça va être complexe…
On edite le fichier apache2.conf avec notre éditeur préféré.
nano /etc/apache2/apache2.confFichier auquel nous allons rajouter ces deux lignes:
ServerSignature Off
ServerTokens ProdServerSignature Off masque les informations qu’Apache pourrait afficher sur des écrans d’erreurs tels qu’une 404.
ServerTokens Prod masque les informations dans le response header.
Et bien évidemment, on n’oublie pas de restart apache
service apache2 restartEt voilà notre serveur est… non on ne va pas dire qu’il est mieux protégé mais il a au moins le mérite de semer le doute et en matière de sécurité, toute chose est bonne à prendre !