apache http php debian

Par défaut, la configuration d'Apache 2 sous Debian Lenny est plutôt verbeuse. Elle renvoi des headers bavards, comme le header HTTP 'Server'

Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny3 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g 

Alors, forcément, c'est pas super en production.

Pour modifier ce comportement, il faut modifier le fichier /etc/apache2/conf.d/security et modifier les valeurs ServerTokens et ServerSignature de la façon suivante :

ServerTokens Prod
ServerSignature Off

On en profite pour désactiver également la méthode TRACE, qui est utilisée pour le diagnostic et réalise un ECHO des données envoyée au serveur. (voir ici, chap. 9.8).

TraceEnable Off

Il reste enfin la méthode TRACK, qui fait sensiblement la même chose, et que l'on peux également supprimer via le module de réecriture des requêtes (mod_rewrite) :

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* - [F]

Enfin, il reste encore un header qui fournit des informations, c'est X-Powered-By, qui renvoi la version de PHP utilisée avec Apache.

  X-Powered-By: PHP/5.2.6-1+lenny3

On peut supprimer l'envoi de ce header dans le fichier /etc/php5/apache2/php.ini en modifiant la valeur suivante :

expose_php = Off

~~DISCUSSION~~