Comment cacher la version de son serveur web Apache ?
I. Présentation
Dans ce tutoriel, nous allons apprendre à cacher la version du serveur web Apache dans les en-têtes HTTP envoyées par notre serveur Apache mais aussi sur les pages d'erreurs.
Pourquoi cacher la version de son serveur web ?
La version d'un serveur web ou d'une autre application serveur est une information très utile aux pirates, car en fonction de la version utilisée, ils peuvent tester diverses attaques et failles connues sur ces versions. Si vous utilisez Apache en version 2.4.49, le pirate pourra rechercher les failles existantes et connues sur cette version, ce qui lui facilite la tâche.
La meilleure protection face à cela étant bien entendu de garder son serveur web à jour, mais il est aussi possible afin de rendre la tâche des attaquants plus longue, et donc plus difficile, de cacher la version de son serveur web Apache. C'est simple à mettre en place, alors pourquoi s'en priver ?
II. Afficher le numéro de version d'Apache
En tant qu'administrateurs, nous avons accès au serveur en direct. Il est alors facile d'afficher dans la console le numéro de version correspondant à notre serveur Apache local.
- En local sur le serveur Apache
Sous Debian, on peut afficher la version installée avec la commande suivante :
apt-cache policy apache2
Nous aurons alors un résultat comme celui-ci :
Nous voyons donc bien que la version installée est la "2.2.22-13".
Mais, on peut aussi utiliser la commande apachectl, intégrée à Apache avec l'option "-v" ou "-V" (plus de détails). Personnellement, j'utilise plutôt cette méthode.
sudo apachectl -v
Ce qui donne :
On peut voir, là aussi, que mon serveur est en version 2.4.51.
- À distance, en tant que visiteur
Depuis une machine distante sous Linux et du paquet Curl, on peut interroger notre serveur Web (par son nom de domaine ou son adresse IP) et obtenir sa version grâce aux informations de l'en-tête HTTP.
curl -I 192.168.100.120
Ce qui donne :
Encore plus simple, on peut générer une page d'erreur à partir d'un navigateur. Par exemple, en accédant à une page qui n'existe pas :
http://192.168.100.120/blabla.html
Au sein de cette page d'erreur 404 (Not Found), on peut voir "Apache/2.4.51" !
III. Cacher la version d'Apache
Pour cacher la version d'Apache, il faut changer quelques options dans sa configuration qui se situe par défaut dans "/etc/apache2". Dans ce dossier racine, il y a plusieurs sous-dossiers et fichiers. Le fichier de configuration principal "apache2.conf" appelle les fichiers du dossier "conf-enabled".
Le fichier "/etc/apache2/conf-enabled/security.conf" contient les options ServerTokens et ServerSignature que nous allons modifier. On peut aussi modifier ces options directement via "apache2.conf" en ajoutant ces directives à la fin du fichier.
Modifiez ce fichier (ou ajoutez les lignes à la fin de "apache2.conf") :
sudo nano /etc/apache2/conf-enabled/security.conf
On va venir remplacer :
ServerTokens OS
Par le niveau le plus restrictif :
ServerTokens Prod
Cela va permettre de masquer la version d'Apache. Néanmoins il restera toujours la mention "Apache Server".
En complément, si l'on veut masquer la mention "Apache Server", il faut venir remplacer :
ServerSignature On
Par :
ServerSignature Off
On enregistre et on ferme le fichier de configuration. Après toute modification, il faut recharger la nouvelle configuration du serveur Apache pour qu'elle soit prise en compte :
sudo systemctl restart apache2
On voit donc bien que la version du serveur Apache n'est plus affichée, tout comme la mention "Apache Server".
Voilà, votre serveur n'affichera plus la version d'Apache lorsqu'il sera interrogé. Même si la signature du serveur est masquée, c'est-à-dire la mention "Apache" sans la version, dans certains cas on peut l'obtenir malgré tout (comme avec l'outil Curl).
