Archiv für November, 2009

Apache + PHP: stop talking!

Erstellt von am Samstag, 14 November, 2009

Apache + PHP

Bei einer kürzlichen Kontrolle

des Apache-Logfiles fielen mir massenweise folgender Meldungen auf:

[Sat Nov 07 12:00:49 2009] [error]
[client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname
(see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

Da man Anfragen an einen Server ja in der Regel nicht ohne Grund stellt, ist natürlich die Frage: Was gibt denn der Server für Infos als Header raus, wenn ein HTTP-Request gestellt wird?

Wie ich feststellen musste, sind das in der Standard-Konfiguration jede Menge Infos! Darunter unter Anderem:

  • verwendetes Betriebssystem
  • verwendeter HTTP-Server mit Versionsnummer
  • installierte Mods, wie z. B. Python, SSL, Perl, etc. sowie die jeweilige Version
  • bei Aufruf einer PHP-Seite auch die PHP-Version

Kurz darüber nachgedacht… Wen gehen diese Daten etwas an? Tja, aus Sicherheitsgründen eigentlich niemanden, der nicht direkt aus Verwaltungsgründen oder Programmierfragen etwas mit dem Server zu tun hat. Also – wie bringe ich Apache und PHP bei, nicht so zu tratschen?

Die Lösung

sind zwei Einträge in den Konfigurationsdateien von Apache und PHP.

Zuerst der Eintrag für den Apache – wieviele Infos der Apache preisgeben darf legt man über den Eintrag “ServerTokens” fest. Den kann man z. B. einfach ganz in die letzte Zeile der Datei /etc/apache2/apache2.conf schreiben.

Fünf Einstellungen stehen dabei zur Auswahl:

  • Kein Eintrag oder auskommentiert = Produktname + Version, Betriebssystem und Module
  • OS = Produktname + Version und Betriebssystem
  • Min = Nur Produktname + Version
  • ProductOnly = Nur Produktname
  • Major = Nur Produktname + Haupt-Versionsnummer

Also würde bspw. ein Eintrag in der Form “ServerTokens ProductOnly” dafür sorgen, dass im Header nur noch die Info “Server = Apache” mitgesendet wird.

Die zweite Änderung betrifft die Datei /etc/php5/apache2/php.ini – hier sucht man sich den Eintrag “expose_php =” und setzt diesen auf den Wert “Off“.

Abschließend

folgt noch ein Neustart des Apache-Servers über den Befehl “/etc/init.d/apache2 restart” und schon hat das Getratsche – wie im Bild zu sehen – ein Ende.

ScreenShot Antwort-Header

ScreenShot Antwort-Header

Tags: , , , , , , , , , , , , , , ,
Kategorie: Software
Kommentare geschlossen

Borderlands angespielt – grenzwertige “Grenzregionen”…

Erstellt von am Samstag, 7 November, 2009
Borderlands vs Fallout 3

Borderlands vs Fallout 3

Nach einem stressigen Tag

braucht man auch mal Entspannung, soviel ist klar und daher steht bei mir die XBOX 360 in der Gegend rum. Als XBOX-Jünger muss man sich natürlich auch immer über die neuesten Spiele, Gerüchte und was weiß ich nicht noch rund um’s Konsolengeschehen informieren. Für diese Zwecke gibt’s zum Beispiel www.xboxfront.de.

Hier gab’s nun kürzlich die Meldung, dass sich Randy Pitchford, seines Zeichens CEO des Entwicklers Gearbox Software, darüber ausgelassen hat, Fallout 3 wäre im Vergleich zum eigenen neuen Borderlands langweilig. Die Aussage:

“Ich verstehe ja warum es Spiele wie Fallout 3 geben muss, aber ich weiß nicht – brauchen wir so etwas wirklich? Ich denke, das Spiel hätte sehr viel besser sein können, wenn es nicht nur einen Dialogstamm gegeben hätte und wenn es mehr Action bieten würde und die Shooter-Elemente besser gewesen wären.”

Die Meinung der XBOX-Front Blogger dazu:

“Aber, aber Mister Pitchford. Sollte man wirklich im Glashaus mit Steinen werfen, bevor das eigene Spiel überhaupt erschienen ist? Wir sind uns sicher, dass nach dieser Aussage wirklich jedes Magazin und jeder Spieler ganz genau hinschauen wird, was Borderlands besser bzw. schlechter macht als Fallout 3.” (Quelle: xboxfront.de)

Weiterlesen »

Tags: , , , , , , , , , , , , , , , ,
Kategorie: Games
Kommentare geschlossen