Testé avec Mandrake 8.0/SuSE 7.2.Vous avez installé le serveur Web apache à partir des paquetages correspondants de votre distribution. Or, par défaut, la plupart des sécurités ne sont pas activées. C’est le cas, par exemple, des fonctions servant à limiter les informations affichées par votre serveur Web, telle que la version du serveur Web qui apparaît après une connexion via telnet, le nom des modules chargés en mémoire, etc. En pratique, il faut ouvrir le fichier /etc/httpd/conf/httpd.conf (ou /etc/httpd /httpd.conf pour la distribution SuSE) à l’aide de votre éditeur de texte préféré et avec les droits administrateur.Recherchez la ligne commençant par ServerTokens et modifiez-la (ou insérez-là) pour qu’elle devienne ServerTokens Prod. Ainsi, la bannière Server: Apache/1.3.19 (Unix) (SuSE/Linux) mod_layout/1.0 mod_throttle/3.0 mod_fastcgi/2.2.2 mod_ssl/2.8.3 OpenSSL/0.9.6a PHP/4.0.6 mod_perl/1.25 mod_dtcl sera remplacée par Server: Apache (SuSE/Linux) (Apache-AdvancedExtranetServer avec la Mandrake). Ce qui donne beaucoup moins d’informations à l’éventuel pirate susceptible de s’attaquer à votre serveur.Notez que le paramètre Prod ne fonctionne qu’avec des versions supérieures à 1.3.12 d’Apache. Dans le même ordre d’idée, ajoutez, si ce n’est pas déjà fait, la ligne ServerSignature Off. Elle évite l’affichage du message Apache/1.3.19 Server at serveur2.filigrane.com Port 80 lorsqu’une erreur 404 (page non trouvée) est rencontrée par le serveur Web. Pour que le serveur apache prenne en compte les modifications, relancez-le via la commande /etc/rc.d/init.d/httpd restart (Mandrake) ou /etc/rc.d/init.d/apache restart (SuSE).Testez ensuite les changements apportés. Dans une fenêtre xterm ou une console, saisissez telnet localhost 80 (remplacez localhost par le nom ou adresse IP de votre serveur) et une fois la connexion établie, tapez HEAD / HTTP/1.0 en respectant les espaces et les majuscules. Validez une première fois en pressant la touche Entrée, puis une seconde fois. Vous devriez voir le message Apache-AdvancedExtranetServer par exemple. Ensuite, quittez la session telnet et lancez votre navigateur Web. Consultez une page inexistante sur votre serveur Web afin de vérifier que le nom de votre serveur n’apparaît plus sur la page derreur.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
