Hallo,
wie kann ich die Apache "ServerSignature" sowie den "X-Powered-By Response header" Domainübergfreifend auf meinem Server deaktivieren?
Ich habe zwar schon in der security.conf vom Apache "ServerSignature Off" und "ServerTokens Prod" gefunden, das scheint allerdings keine Wirkung zu haben.
Den "X-Powered-By"- Header kann ich wohl in der php.ini mit "expose_php = off" entfernen, wäre dann allerdings pro Domain.
Geht das auch irgendwie Domainübergreifend, als Standard?
Und Allgemein gefragt:
Hat die Deaktivierung der beiden Einstellungen Nachteile?
ServerSignature & X-Powered-By [GELÖST]
ServerSignature & X-Powered-By
Danke & Viele Grüße
Olli
Olli
Re: ServerSignature & X-Powered-By
Guck Mal hier http://ask.xmodulo.com/turn-off-server- ... erver.html
Da sind die Unterschiede gut beschrieben.
Die PHP Direktive kannst du global in der systemweiten PHP.ini deaktivieren. Die liegt bei dir aber nicht unter /etc/php.ini sondern eher unter /etc/php/5.6/apache2/php.ini.
Siehe: https://askubuntu.com/questions/356968/ ... p-ini-file
Da sind die Unterschiede gut beschrieben.
Die PHP Direktive kannst du global in der systemweiten PHP.ini deaktivieren. Die liegt bei dir aber nicht unter /etc/php.ini sondern eher unter /etc/php/5.6/apache2/php.ini.
Siehe: https://askubuntu.com/questions/356968/ ... p-ini-file
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Re: ServerSignature & X-Powered-By
Hallo,
/etc/php/5.6/apache2/php.ini findet nur Anwendung, wenn PHP als Apache Modul läuft (steht auch im von Tobi verlinkten Artikel), was bei keyhelp aber nicht der Fall ist.
Hier müssten die keyhelp Entwickler wohl etwas zu sagen, ob es eine "globale" php.ini gibt, die sich auf alle fpm pools auswirkt.
Viele Grüße,
Lars
/etc/php/5.6/apache2/php.ini findet nur Anwendung, wenn PHP als Apache Modul läuft (steht auch im von Tobi verlinkten Artikel), was bei keyhelp aber nicht der Fall ist.
Hier müssten die keyhelp Entwickler wohl etwas zu sagen, ob es eine "globale" php.ini gibt, die sich auf alle fpm pools auswirkt.
Viele Grüße,
Lars
Re: ServerSignature & X-Powered-By [GELÖST]
Die Einstellung "expose_php = Off" müsste an folgenden Stellen gesetzt werden
Für die OS Version:
Ubuntu 12 - 14 | Debian 8
Webkontext: /etc/php5/fpm/php.ini
Konsolen-Kontext: /etc/php5/cli/php.ini
Ubuntu 16 | Debian 9
Webkontext: /etc/php/7.0/fpm/php.ini
Konsolen-Kontext: /etc/php/7.0/cli/php.ini
Wobei bei meinen Testsystemen die Standard-Einstellung nur bei Ubuntu 12 und 14 auf "expose_php = On" ist, bei den anderen ist es "Off".
Für die zusätzlichen PHP-Interpreter
Die zusätzlichen Versionen sind da gesprächiger und sind in der Standardeinstellung auf "expose_php = On" gestellt.
Wenn die nächste Kompilierung der PHP-Interpreter ansteht, würde ich dann die Einstellung generell auf Off setzen.
Für jeden Kontext: /opt/keyhelp/php/<PHP_VERSION>/etc/php.ini
Apache ServerSignature
Die ist in der Standardkonfiguration von KeyHelp von Haus aus deaktiviert, zu finden ist dies hier:
/etc/apache2/conf-enabled/security.conf bzw. /etc/apache2/conf.d/security.conf
Für die OS Version:
Ubuntu 12 - 14 | Debian 8
Webkontext: /etc/php5/fpm/php.ini
Konsolen-Kontext: /etc/php5/cli/php.ini
Ubuntu 16 | Debian 9
Webkontext: /etc/php/7.0/fpm/php.ini
Konsolen-Kontext: /etc/php/7.0/cli/php.ini
Wobei bei meinen Testsystemen die Standard-Einstellung nur bei Ubuntu 12 und 14 auf "expose_php = On" ist, bei den anderen ist es "Off".
Für die zusätzlichen PHP-Interpreter
Die zusätzlichen Versionen sind da gesprächiger und sind in der Standardeinstellung auf "expose_php = On" gestellt.
Wenn die nächste Kompilierung der PHP-Interpreter ansteht, würde ich dann die Einstellung generell auf Off setzen.
Für jeden Kontext: /opt/keyhelp/php/<PHP_VERSION>/etc/php.ini
Apache ServerSignature
Die ist in der Standardkonfiguration von KeyHelp von Haus aus deaktiviert, zu finden ist dies hier:
/etc/apache2/conf-enabled/security.conf bzw. /etc/apache2/conf.d/security.conf
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: ServerSignature & X-Powered-By
Ich bedanke mich recht herzlich für die Ausführungen.
Danke & Viele Grüße
Olli
Olli