Søg
Avatar billede langbein Nybegynder
18. november 2002 - 22:57 Der er 12 kommentarer og
1 løsning

Apache web server - anonymitet og sikkerhet

Ved å bruke for eksempel de "nettools" som finnes på denne web siden så kan man finne ut for en stor del hvilke operativsystemer og hva slags web servere som kjører på de forskjellige web sites.

http://info-x.co.uk

For min server så sier den for eksempel:
www.eksempel.dk is running Apache/1.3.23 (Unix) (Red-Hat/Linux) mod_ssl/2.8.7 OpenSSL/0.9.6b DAV/1.0.3 PHP/4.1.2 mod_perl/1.2

For en hacker så kan dette være ganske interresant informasjon. Trodde først at dette var informasjon som "nettols" hentet ut via kommunikasjon mot Linux operativsystem slik at dette kunne stanses gjennom aktiv og smart bruk av firewall.

Etter å ha jobbet litt med saken, så tror jeg ikke lengere det. Det ser ut som om denne informasjonen kommer ut uansett hvorledes man konfigurerer og setter opp firewall.

Det som jeg nå tror er grunnen til at "nettools" kan lese hvilket operativsystem det dreier seg om og hva slags web server osv det vil jeg tro er det at Apache web server selv sender ut denne informasjonen sammen med den ordinære web trafikken via den ordinære port 80. (?) Hvis denne teorien eller antakelsen er rett så kan man ikke filtrere vekk denne informasjonsflowen. Man må i stedet konfigurere Apasje til ikke å sende ut denne informasjonen.

Noen som kjenner til hvordan dette eventuelt kan gjøres ???
Avatar billede dank Nybegynder
18. november 2002 - 23:06 #1
ServerTokens min

i httpd.conf
Avatar billede langbein Nybegynder
18. november 2002 - 23:07 #2
Takker, den var hurtig !! Vil forsøke å se på den :-)
Avatar billede dank Nybegynder
18. november 2002 - 23:07 #3
Så vidt jeg ved er der nogle vira/worms der benytter denne informationen til at beslutte om de skal forsøge angribe en server.
Avatar billede dank Nybegynder
18. november 2002 - 23:10 #4
http://www.linuxsecurity.com/articles/security_sources_article-5699.html

^

OpenSSL Worm:
The worm seems to pick its targets by server banners; for Apache, you can set the ServerTokens option to "ProductOnly" to keep it from reporting its operating system and version information
Avatar billede dank Nybegynder
18. november 2002 - 23:11 #5
ServerTokens ProductOnly

^

www.1go.dk is running Apache
Avatar billede dank Nybegynder
18. november 2002 - 23:12 #6
p.s. jeg ved godt jeg har lovet at kommentere iptables spørgsmålet.. Men jeg har meget ekstra arbejde for tiden. derfor er jeg kun lidt online disse dage :o)
Avatar billede dank Nybegynder
18. november 2002 - 23:14 #7
http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=www.1go.dk

Se her hvordan jeg selv ændrede det for noget tid siden. De ældste entries viser:

Apache/1.3.20 (Unix) (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.0.6 mod_perl/1.24_01

Og den nyeste viser kun

www.1go.dk is running Apache
Avatar billede dank Nybegynder
18. november 2002 - 23:16 #8
ServerTokens directive
Syntax: ServerTokens Minimal|ProductOnly|OS|Full
Default: ServerTokens Full
Context: server config
Status: core
Compatibility: ServerTokens is only available in Apache 1.3 and later; the ProductOnly keyword is only available in versions later than 1.3.12 This directive controls whether Server response header field which is sent back to clients includes a description of the generic OS-type of the server as well as information about compiled-in modules.
ServerTokens Prod[uctOnly]
Server sends (e.g.): Server: Apache
ServerTokens Min[imal]
Server sends (e.g.): Server: Apache/1.3.0
ServerTokens OS
Server sends (e.g.): Server: Apache/1.3.0 (Unix)
ServerTokens Full (or not specified)
Server sends (e.g.): Server: Apache/1.3.0 (Unix) PHP/3.0 MyMod/1.2
This setting applies to the entire server, and cannot be enabled or disabled on a virtualhost-by-virtualhost basis.
Avatar billede langbein Nybegynder
19. november 2002 - 00:20 #9
Takker Dank ! Det virket !!
"www.eksempel.dk is running Apache"

Litt spesielt at det ikke lå noen entry i httpd.conf filen i det hele tatt slik at denne måtte opprettes. Det var ikke nok å ta vekk et # denne gangen.

Hvor fant du denne infoen ?

Når det gjelder det tidligere spørsmål vedrørende iptables så er ikke det så kritisk. Har funnet ut litt (tror jeg).

Har der i mot et annet ganske interessant spørsmål (synes jeg) som går på den prinsippielle virkemåten for et firewall script. Kommer snart. Begynner ellers å komme litt til bunns i tingene, synes jeg, minus det spørsmålet som kommer snart. (Og etter det så oppdager man vel nye ting ..)
Avatar billede langbein Nybegynder
19. november 2002 - 00:49 #10
Hevdet for litt siden at det ikke var nødvendig å sette firewall åpne for console tilgang fordi dette som default ville bli gjort uansett. Der ser det ut som jeg tok feil. Rebootet maskinen min nå og oppdaget til min store skrekk at console connection forsvant i løpet av rekken med grønne OK. Det så ut som maskinen hang. Fikk heldig vis logget på via ssh fra lan slik at jeg fikk skiftet ut firewall scriptet med et som ga console tilgang. Måtte faktisk reboote maskinen en gang til for å få console tilgang. Så vet man det - Det ser ut som om det faktisk ER mulig å konfigurere firewall så galt at man mister all tilgang til maskinen inklusive console. Trodde ikke det - før nå.

Når det gjelder bruken av -j MASQUERADE eller ikke så ser denne din å fungere helt fint selv om den egentlig er laget for diel up connections. Noe av foskjellen er at den skal være laget for å holde forbindelsen gjennom kortvarige linjeavbrudd. Det virker tilsynelatende også slik at selv om man rebooter firewall maskinen så er clientene fortsatt online som om inge ting hadde skjedd. Vet ikke om det virker slik for "den annen løsning".
Avatar billede langbein Nybegynder
19. november 2002 - 00:51 #11
Litt snodig. Rebootet firewall maskinen faktisk 3 ganger og så er jeg fortsatt online på experten uten ny pålogging ..
Avatar billede langbein Nybegynder
19. november 2002 - 01:05 #12
Takker for hjelpen ! :-)
Avatar billede dank Nybegynder
19. november 2002 - 19:01 #13
"Hvor fant du denne infoen ?"

Jeg fandt den i min egen textfil som omfatter de modificeringer jeg selv har fortaget på min server. Oprindeligt stammer disse oplysninger fra apache.org et eller andet sted :)

Takker for point.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
Kun read only adgang til filer FTP Server på Ubuntu Server Af Strawberry i Linux 6 18/03/202619:27 24/03/202613:16
PIHOLE Af dcedata1977 i Linux 6 14/03/202620:13 22/03/202615:06
SDKORT / SSD Af dcedata1977 i Linux 5 13/03/202612:06 15/03/202614:52
Gøre Billeder og Tegninger større (Linux Mint) Af Ikke-ekspert i Linux 8 07/03/202621:10 09/03/202601:11
Netværksadgang for flere brugere til samme filer på Ubuntu Server Af Strawberry i Linux 2 27/02/202611:38 27/02/202620:28
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 21:35 Lidt simpel (håber jeg) Photoshop hjælp Af fcs i Billedbehandling
I går 16:04 Canon printer vil ikke udskrive farver Af mort1 i Printere
I går 14:50 Hvilket fabrikat af Mesh systemer virker? Af fkj i Wifi
15/0513:45 AJAX kode -javascript Af Asky i Programmeringsværktøjer
15/0511:50 Vælg indstilling - blå skærm med med flere muligheder for fejlretning Af Uvanga i Windows
White papers
Flere white papers »