Halloo. Dank dem Serversupportforum bin ich wieder etwas schlauer. :)

Und zwar hatte ich ne Frage. Die Server-Software, wenn man sie abfragt, sieht meistens so aus: Auf dem Server vbulletin.de läuft folgender Webserver:
Apache/1.3.28 (Unix) PHP/4.3.3 FrontPage/5.0.2.2623 mod_ssl/2.8.15 OpenSSL/0.9.6c Jetzt die frage: Gibts ne Möglichkeit, darauf einfluss zu nehmen, was dort angezeigt wird?

JA! :) Man frage mal hollii.de ab .. ;) Auf dem Server hollii.de läuft folgender Webserver:
Apache Wie geht das? Öffne die httpd.conf und Suche ServerSignature Füge darüber ein ServerTokens Prod Speichern, Apache bzw. Konfiguration restarten und Fertig. :)

Weitere Möglicheiten: ServerTokens Prod
Server sends (e.g.): Server: Apache

ServerTokens Min
Server sends (e.g.): Server: Apache/1.3.0

ServerTokens OS
Server sends (e.g.): Server: Apache/1.3.0 (Unix)

ServerTokens Full (or not specified)
Server sends (e.g.): Server: Apache/1.3.0 (Unix) PHP/3.0 MyMod/1.2

Was genau soll das bringen den Apache-Server zu "tarnen"? Die Sicherheit erhöht so etwas nicht (Stichwort: Security by Obscurity).

ich denke mir mal das gibt ja normaler weise, keinen Aussenstehenden etwas an, was genau auf deinen Server läuft, und sollte daher nicht direkt alles da stehen. So sehe ich das auch. Bei einer jeden Anfrage an den Server werden jedesmal sämtliche Software versionen und Informationen mitgesendet. Das kann vor allen dann zum Nachteil werden, wenn du z.b. zufälligerweise eine Version installiert hast, die Sicherheitslücken enthält. Diese kann man dann gezielt ausnutzen. Wenn ein aussenstehender erst gar nicht sehen kann, welche Version man installiert hat, ist dies so nicht mehr so einfach möglich.. Nicht überhaupt nicht sondern nicht mehr so einfach. Dies ist vor allem für die sehr nützlich, die nicht regelässig den Server updaten können oder wollen.

Zu Security by Obscurity sage ich nur. Dazu brauch man erst recht die Versionsnummer... ;) Oder nicht? Wenn zum Beispiel jemand den Schlüssel seiner Haustüre in einem Blumentopf versteckt, für den Fall, dass er sich aus dem Haus ausschließt, verlässt er sich auf Security through obscurity. Der theoretische Schwachpunkt dieser Vorgehensweise ist offensichtlich: Jeder, der weiß, wo der Schlüssel versteckt ist, kann die Haustüre öffnen. Der Hauseigentümer nimmt jedoch an, dass niemand von dem Versteck weiß und auch ein Einbrecher den Schlüssel kaum finden würde. Natürlich nur wenn jemand weiss, wo der Schlüssel ist... Und nicht jeder versteckt den Schlüssel im Blumentopf ;):p).

Ausserdem: Check doch mal das Web durch, wer alles nicht 'getarnt' ist... :) Den Begriff 'Tarnung' benutze ich, weil das die einzige Bezeichnung ist, die passt. Oder kennst du nen besseren Begriff?

www.schwarzl.at/kserver.html?action=query&phttp=web.de
www.schwarzl.at/kserver.html?action=query&phttp=zdnet.de
www.schwarzl.at/kserver.html?action=query&phttp=gmx.de
www.schwarzl.at/kserver.html?action=query&phttp=redhat.com
www.schwarzl.at/kserver.html?action=query&phttp=mysql.com
www.schwarzl.at/kserver.html?action=query&phttp=yahoo.com
www.schwarzl.at/kserver.html?action=query&phttp=skype.com
www.schwarzl.at/kserver.html?action=query&phttp=volkswagen.de
www.schwarzl.at/kserver.html?action=query&phttp=www.deutschebank.de
www.schwarzl.at/kserver.html?action=query&phttp=apache.org
www.schwarzl.at/kserver.html?action=query&phttp=www.linux.de
www.schwarzl.at/kserver.html?action=query&phttp=novell.com

Man kann noch viel mehr "tarnen".
Setz einfach mal "mod_security" ein, dann kannst mit:

SecServerSignature

sogar die Signatur von Apache ganz rausnehmen und den Server als "IIS" tarnen..
die Signatur kannst dann nach belieben selber anpassen :-)

so z.B.: SecServerSignature "Microsoft-IIS/5.0"

http://www.vbulletin-germany.com/forum/showthread.php?t=17810&highlight=mod_security

hab vor ner weile eine anleitung dazu geschrieben

Zu Security by Obscurity sage ich nur. Dazu brauch man erst recht die Versionsnummer... ;) Oder nicht? Natürlich nur wenn jemand weiss, wo der Schlüssel ist... Und nicht jeder versteckt den Schlüssel im Blumentopf ;):p).So ganz trifft es dein Beispiel aber nicht. Ob du einen Schlüssel im Blumentopf oder unter dem Fußabtreter versteckt hast, sieht man deinem Haus nicht an. Aber ob ein Server vom "Standard" abweicht, und die Versions-Informationen nicht preisgibt, sieht ein Hacker mit einem Versuch. Und genau das macht einen Server schon einmal interessant.

Artikel zu dem Thema: http://en.wikipedia.org/wiki/Security_through_obscurity

. Bei einer jeden Anfrage an den Server werden jedesmal sämtliche Software versionen und Informationen mitgesendet. Das kann vor allen dann zum Nachteil werden, wenn du z.b. zufälligerweise eine Version installiert hast, die Sicherheitslücken enthält. Diese kann man dann gezielt ausnutzen. Wenn ein aussenstehender erst gar nicht sehen kann, welche Version man installiert hat, ist dies so nicht mehr so einfach möglich.. Nicht überhaupt nicht sondern nicht mehr so einfach. Dies ist vor allem für die sehr nützlich, die nicht regelässig den Server updaten können oder wollen.

der Haken bei der Sache ist:
Wer kümmert sich heutzutage schon darum was der Server an Versionsinformationen preisgibt. Das wäre vielleicht der Fall wenn sich jemand gezielt deinen speziellen Server als Agriffsziel ausgesucht hat.
Viel grösser ist aber die Wahrscheinlichkeit dass du mal Besuch von einem der unzähligen Scanscripte bekommst, die grossflächig ganze IP Bereiche nach Servern mit Sicherheitslücken abscannen.
Und die interessiert es einen Dreck was bspw. dein Apache als Signatur liefert. Da wird einfach stupide ausprobiert, ob das/der Exploit funktioniert.

Wer aufgrund des Abschaltens der Versionsangaben meint auf Updates verzichten zu können, wiegt sich in einer gefährlichen und scheinheiligen Sicherheit.

CU
Imago