Headers HTTP sin informacion
Apache
Headers HTTP , ese gran desconocido. Hoy toca anotar algunas modificaciones del Apache que permiten controlar la información mostrada.
En systemadmin.es te explican las directivas para conseguirlo y yo aclaro el caso para Ubunbtu.
El fichero sobre el que trabajaremos es:
/etc/apache2/conf.d/security
Y las directivas que involucran los datos de las Headers HTTP son
- ServerTokens
- ServerSignature
Si utilizar el paquete binario de Ubuntu veras el fichero comentado con los posibles valores de estas directivas. Las recomendadas son
- ServerTokens Prod
ServerTokens Full (or not specified)
Server sends (e.g.): Server: Apache/2.4.1 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
Server sends (e.g.): Server: Apache
ServerTokens Major
Server sends (e.g.): Server: Apache/2
ServerTokens Minor
Server sends (e.g.): Server: Apache/2.4
ServerTokens Min[imal]
Server sends (e.g.): Server: Apache/2.4.1
ServerTokens OS
Server sends (e.g.): Server: Apache/2.4.1 (Unix)
- ServerSignature Off
La opción Off , es la de por defecto en Apache , pero no en Ubuntu. Esto suprime la linea del pie , esta opción es compatible con Apache-1.2 e inferiores. La opción On simplemente añade una linea al pie con la versión del servidor , el contenido del ServerName y el Email referenciado a la directiva ServerAdmin.
PHP
Como detalle final queda la información del PHP instalado y que por razones obvias no se configura en Apache. Asiq ue el fichero a revisar ahora es el php.ini.
- expose_php = On (Antes)
Debemos deshabilitar esta directiva ya si no mostrará ningún tipo de mensaje.
- expose_php = On
Siguiendo unas indicaciones de buenas practicas