Dans le cadre de votre processus de sécurisation renforcée du système, vérifiez les jetons de serveur pour le serveur Apache2. L'en-tête de réponse de serveur Web figurant dans une réponse HTTP peut contenir plusieurs champs d'information. Les informations incluent la page HTML demandée, le type et la version du serveur Web, le système d'exploitation et sa version, ainsi que les ports associés au serveur Web. Elles fournissent aux utilisateurs malveillants d'importantes données sans qu'ils aient besoin d'utiliser de nombreux outils.
La directive ServerTokens doit être définie sur Prod. Par exemple, ServerTokens Prod. Cette directive détermine si le champ d'en-tête de réponse du serveur qui est renvoyé aux clients inclut une description du système d'exploitation et des informations sur les modules compilés.
Procédure
- Pour vérifier les jetons de serveur, exécutez la commande cat /etc/httpd/conf/extra/httpd-default.conf |grep ServerTokens.
- Pour modifier ServerTokens Full par ServerTokens Prod, exécutez la commande sed -i 's/\(ServerTokens\s\+\)Full/\1Prod/g' /etc/httpd/conf/extra/httpd-default.conf.