Apache: nascondere informazioni del server

La configurazione di default di apache e apache 2 fornisce troppe informazioni!

Facendo un accesso in telnet

# telnet 132.223.21.45 80

Trying 132.223.21.45...
Connected to 132.223.21.45.
Escape character is '^]'.

scrivere

GET / HTTP/1.0

e poi dare 2 volte invio. La risposta sarà di questo tipo:

HTTP/1.1 200 OK
Date: Wed, 29 Aug 2007 11:53:11 GMT
Server: Apache/2.0.55 (Ubuntu) mod_jk/1.2.14 PHP/4.4.2-1build1 mod_ssl/2.0.55 OpenSSL/0.9.8a mod_chroot/0.5
X-Powered-By: PHP/4.4.2-1build1

ecc... ecc...

Vengono forniti: versione di apache, sistema operativo, moduli caricati, versione di php... Per fare in modo che il server apache/apache2 non sia così tanto prolisso aggiungere queste 2 righe alla configurazione:

ServerSignature Off
ServerTokens Prod

Per apache2 aggiungerle in /etc/apache2/apache.conf, per apache aggiungerle in /etc/apache/httpd.conf

Facendo nuovamente le prova risulta:

# telnet 132.223.21.45 80

Trying 132.223.21.45...
Connected to 132.223.21.45.
Escape character is '^]'.

scrivere

GET / HTTP/1.0

e poi dare 2 volte invio. La risposta sarà di questo tipo:

HTTP/1.1 200 OK
Date: Wed, 29 Aug 2007 12:25:45 GMT
Server: Apache
Last-Modified: Mon, 27 Aug 2007 20:07:25 GMT
ETag: "92841d-0-e7bbf940"
Accept-Ranges: bytes
Content-Length: 0
Connection: close
Content-Type: text/html; charset=ISO-8859-1

Connection closed by foreign host.

Come si vede non vengono forniti ne la versione di apache ne i moduli caricati