Debian 12 : Apache2 entfernen des Server Headers

Nachdem ich erklärt habe wie man das für den nginx umsetzt wurde ich gefragt ob ich das auch für Apache erklären könnte. Ja kann ich ;-)

Problem : Entfernen des Apache Server Headers aus dem Response des Webservers



Lösung :

als erstes installieren & aktivieren wir die benötigten Module.
apt install libapache2-mod-security2 -y
a2enmod headers
systemctl restart apache2

In der Konfigurationsdatei /etc/apache2/conf-available/security.conf folgende Werte setzen
ServerTokens Prod
ServerSignature Off
Header set X-Content-Type-Options: "nosniff"
Header set Content-Security-Policy "frame-ancestors 'self';"
gefolgt von einem Neustart des Services
systemctl restart apache2


Um auch den Servernamen aus dem Response zu entfernen muss die Konfiguration angepasst werden.
SecRuleEngine DetectionOnly
ServerTokens Full
SecServerSignature "Gameboy"
gefolgt von einem Neustart des Services
systemctl restart apache2



Hier gibts mehr Informationen :
https://return42.github.io/handsOn/apache_setup/mod_security2.html
https://github.com/coreruleset/coreruleset
Hier hatte ich mal Ärger mit Grafana und mod_security
“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”
Gene Spafford (Sicherheitsexperte)