26 May 2015

Ocultar información de Apache

Ocultar información de Apache

Para evitar que desde alguno de nuestros sitios se publiquen las cabeceras que dan información sobre el sistema operativo, versión de apache y PHP que estamos trabajando, evitando que un ataque resulte más sencillo.

Para esto, hay que editar el archivo

/etc/apache2/conf.d/security

cambiando o agregando la siguiente configuración:

ServerSignature Off
ServerTokens Prod
TraceEnable off

Para ocultar la información de PHP, hay que editar ya sea

etc/php5/apache2/php.ini

o

etc/php5/fpm/php.ini

según el modo en que lo configuramos, agregando a la opción

disable_functions

los valores:

,system,show_source,phpinfo

y cambiando o agregando la siguiente información:

allow_url_fopen=Off
display_errors=Off
expose_php = Off

Para terminar, en cada vhost en que queramos ocultar la información del sistema operativo, por ejemplo en el default

/etc/apache2/sites-available/default

hay que editar o agregar:

ServerSignature Off
FileETag None

Artículos relacionados