Limiter les informations renvoyées par Apache2 sous Debian Lenny
apache http php debian
Par défaut, la configuration d'Apache 2 sous Debian Lenny est plutôt verbeuse. Elle renvoi des headers bavards, comme le header HTTP 'Server'
Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny3 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
Alors, forcément, c'est pas super en production.
Pour modifier ce comportement, il faut modifier le fichier /etc/apache2/conf.d/security et modifier les valeurs ServerTokens et ServerSignature de la façon suivante :
ServerTokens Prod ServerSignature Off
On en profite pour désactiver également la méthode TRACE, qui est utilisée pour le diagnostic et réalise un ECHO des données envoyée au serveur. (voir ici, chap. 9.8).
TraceEnable Off
Il reste enfin la méthode TRACK, qui fait sensiblement la même chose, et que l'on peux également supprimer via le module de réecriture des requêtes (mod_rewrite) :
RewriteEngine on RewriteCond %{REQUEST_METHOD} ^TRACK RewriteRule .* - [F]
Enfin, il reste encore un header qui fournit des informations, c'est X-Powered-By, qui renvoi la version de PHP utilisée avec Apache.
X-Powered-By: PHP/5.2.6-1+lenny3
On peut supprimer l'envoi de ce header dans le fichier /etc/php5/apache2/php.ini en modifiant la valeur suivante :
expose_php = Off
~~DISCUSSION~~