jul 5, 2008
Cómo ocultar o enmascarar la versión de Apache
Cuanta menos información demos sobre nuestro servidor, mejor. En este caso vamos a ver las opciones que tenemos para ocultar la versión del servicio web apache, o camuflarla.
Si directamente queremos ocultarla, deberemos editar el fichero httpd.conf, y cambiar las siguientes directivas:
$ vi httpd.conf ServerSignature Off ServerTokens Prod
Otra opción, que personalmente me parece muy interesante, es camuflar / enmascarar la versión de sistema y apache. Si tenemos apache compilado con el módulo mod_security, añadiendo la siguiente directiva a las opciones del módulo podemos hacerlo:
SecServerSignature "Apache/2.2.0 (Debian)"
Así, aunque nuestro server sea un apache 1.3 bajo Red-Hat por ejemplo, cara al exterior será una Debian con Apache 2.2.0
Hola,
Podría explicar de forma detallada como camuflar el nombre con mod_security2 por favor?
Muchas gracias por adelantado.
Hola ViperWeb, pues es simple, debes añadir al fichero en el que tengas las reglas o la configuración de mod_security la siguiente línea:
SecServerSignature “Apache/2.2.0 (Debian)”
Poniendo por supuesto la versión de Apache/SO/etc que te apetezca. Más información sobre configurar mod_security aquí:
http://rm-rf.es/instalacion-y-configuracion-de-mod_security
Saludos.
Muchas gracias!
Esto funciona solo para ocultar la información en el navegador, pero con nmap o nikto nos devuelve toda la información, como hacerle para que no tire información con estas herramientas?