Page 1 of 1
ServerSignature & X-Powered-By
Posted: Tue 3. Apr 2018, 13:13
by ollidroll
Hallo,
wie kann ich die Apache "ServerSignature" sowie den "X-Powered-By Response header" Domainübergfreifend auf meinem Server deaktivieren?
Ich habe zwar schon in der security.conf vom Apache "ServerSignature Off" und "ServerTokens Prod" gefunden, das scheint allerdings keine Wirkung zu haben.
Den "X-Powered-By"- Header kann ich wohl in der php.ini mit "expose_php = off" entfernen, wäre dann allerdings pro Domain.
Geht das auch irgendwie Domainübergreifend, als Standard?
Und Allgemein gefragt:
Hat die Deaktivierung der beiden Einstellungen Nachteile?
Re: ServerSignature & X-Powered-By
Posted: Tue 3. Apr 2018, 17:52
by Tobi
Guck Mal hier
http://ask.xmodulo.com/turn-off-server- ... erver.html
Da sind die Unterschiede gut beschrieben.
Die PHP Direktive kannst du global in der systemweiten PHP.ini deaktivieren. Die liegt bei dir aber nicht unter /etc/php.ini sondern eher unter /etc/php/5.6/apache2/php.ini.
Siehe:
https://askubuntu.com/questions/356968/ ... p-ini-file
Re: ServerSignature & X-Powered-By
Posted: Wed 4. Apr 2018, 11:53
by l_fish
Hallo,
/etc/php/5.6/apache2/php.ini findet nur Anwendung, wenn PHP als Apache Modul läuft (steht auch im von Tobi verlinkten Artikel), was bei keyhelp aber nicht der Fall ist.
Hier müssten die keyhelp Entwickler wohl etwas zu sagen, ob es eine "globale" php.ini gibt, die sich auf alle fpm pools auswirkt.
Viele Grüße,
Lars
Re: ServerSignature & X-Powered-By [GELÖST]
Posted: Wed 4. Apr 2018, 14:35
by Alexander
Die Einstellung "expose_php = Off" müsste an folgenden Stellen gesetzt werden
Für die OS Version:
Ubuntu 12 - 14 | Debian 8
Webkontext: /etc/php5/fpm/php.ini
Konsolen-Kontext: /etc/php5/cli/php.ini
Ubuntu 16 | Debian 9
Webkontext: /etc/php/7.0/fpm/php.ini
Konsolen-Kontext: /etc/php/7.0/cli/php.ini
Wobei bei meinen Testsystemen die Standard-Einstellung nur bei Ubuntu 12 und 14 auf "expose_php = On" ist, bei den anderen ist es "Off".
Für die zusätzlichen PHP-Interpreter
Die zusätzlichen Versionen sind da gesprächiger und sind in der Standardeinstellung auf "expose_php = On" gestellt.
Wenn die nächste Kompilierung der PHP-Interpreter ansteht, würde ich dann die Einstellung generell auf Off setzen.
Für jeden Kontext: /opt/keyhelp/php/<PHP_VERSION>/etc/php.ini
Apache ServerSignature
Die ist in der Standardkonfiguration von KeyHelp von Haus aus deaktiviert, zu finden ist dies hier:
/etc/apache2/conf-enabled/security.conf bzw. /etc/apache2/conf.d/security.conf
Re: ServerSignature & X-Powered-By
Posted: Wed 4. Apr 2018, 19:20
by ollidroll
Ich bedanke mich recht herzlich für die Ausführungen.