====== Limiter les informations renvoyées par Apache2 sous Debian Lenny ======


{{tag> apache http php debian}}


Par défaut, la configuration d'Apache 2 sous Debian Lenny est plutôt verbeuse.
Elle renvoi des headers bavards, comme le header HTTP 'Server'

<file>
Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny3 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g 

</file>

Alors, forcément, c'est pas super en production.

Pour modifier ce comportement, il faut modifier le fichier **/etc/apache2/conf.d/security** et modifier les valeurs **ServerTokens** et **ServerSignature** de la façon suivante :

<code>
ServerTokens Prod
ServerSignature Off
</code>

On en profite pour désactiver également la méthode TRACE, qui est utilisée pour le diagnostic et réalise un ECHO des données envoyée au serveur. ([[http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html|voir ici, chap. 9.8]]).

<code>
TraceEnable Off
</code>

Il reste enfin la méthode TRACK, qui fait sensiblement la même chose, et que l'on peux également supprimer via le module de réecriture des requêtes (mod_rewrite) :

<code>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* - [F]
</code>


Enfin, il reste encore un header qui fournit des informations, c'est **X-Powered-By**, qui renvoi la version de PHP utilisée avec Apache. 

<file>
  X-Powered-By: PHP/5.2.6-1+lenny3
</file>

On peut supprimer l'envoi de ce header dans le fichier **/etc/php5/apache2/php.ini** en modifiant la valeur suivante :

<code>
expose_php = Off
</code>

~~DISCUSSION~~