Запутывание заголовков сервера

Ну, "Безопасность через неизвестность" никогда не бывает лучшей практикой; Ваше оборудование должно поддерживать целостность против злоумышленника, который обладает обширными знаниями о ваших настройках (запрет паролей, доступ к консоли и т. д.). Не могу остановить DDOS или что-то подобное, но вам не нужно беспокоиться о том, что люди узнают вашу версию ОС и т. Д.

Тем не менее, нет необходимости раздавать информацию бесплатно. Фальсификация заголовков может отпугнуть некоторых злоумышленников, и, в таких случаях, когда вы запускаете приложение, которое может иметь известную эксплойт, появляется существенная выгода в том, что вы не рекламируете его.

Я говорю, измени это. Внутренне, вы не должны видеть большую выгоду, оставляя это в покое, и внешне у вас есть шанс увидеть выгоды, если вы измените это.

Учитывая запросы, которые я нахожу в моих файлах журналов (например, запросы на ошибки, связанные с IIS в журналах Apache, и я уверен, что журналы сервера IIS также будут отображать запросы, специфичные для Apache), есть много ботов, которым нет дела до любой такой заголовок вообще. Я думаю, что почти все в настоящее время является грубой силой.

(И на самом деле, как, например, я установил довольно много экземпляров Tomcat, сидящих за IIS, я думаю, я бы тоже не учел заголовки, если бы попытался взломать свой путь на каком-нибудь сервере.)

И прежде всего: при использовании свободного программного обеспечения я считаю целесообразным дать производителям некоторые кредиты в статистике.

Маскировка вашего номера версии является очень важной мерой безопасности. Вы не хотите сообщать злоумышленнику информацию о том, какое программное обеспечение вы используете. Эта функция безопасности доступна в mod_security, брандмауэре веб-приложений с открытым исходным кодом для Apache: http://www.modsecurity.org/

Добавьте эту строку в ваш файл конфигурации mod_security:

SecServerSignature "IIS/6.0"