Hope This Helps

Nachdem ich erklärt habe wie man das für den nginx umsetzt wurde ich gefragt ob ich das auch für Apache erklären könnte. Ja kann ich

Problem : Entfernen des Apache Server Headers aus dem Response des Webservers



Lösung :

als erstes installieren & aktivieren wir die benötigten Module.

apt install libapache2-mod-security2 -y
a2enmod headers
systemctl restart apache2

In der Konfigurationsdatei /etc/apache2/conf-available/security.conf folgende Werte setzen

ServerTokens Prod
ServerSignature Off
Header set X-Content-Type-Options: "nosniff"
Header set Content-Security-Policy "frame-ancestors 'self';"

gefolgt von einem Neustart des Services

systemctl restart apache2

Um auch den Servernamen aus dem Response zu entfernen muss die Konfiguration angepasst werden.

SecRuleEngine DetectionOnly
ServerTokens Full
SecServerSignature "Gameboy"

gefolgt von einem Neustart des Services

systemctl restart apache2

Hier gibts mehr Informationen :
https://return42.github.io/handsOn/apache_setup/mod_security2.html
https://github.com/coreruleset/coreruleset
Hier hatte ich mal Ärger mit Grafana und mod_security

Problem : Entfernen des nginx server headers aus dem response des webservers



Lösung : Aus dem Security Aspekt sollte man diese Informationen entfernen.

Um nur die Server Version zu entfernen , reicht es in der config Datei /etc/nginx/nginx.conf den configparameter "server_tokens off;" zu setzen.

Will man den Namen nginx komplett aus den Headern entfernen , müssen noch einige Packete installiert werden.

apt install libnginx-mod-http-headers-more-filter

nach der Installation setzt man in der config noch folgende Parameter :

more_clear_headers Server;
more_set_headers 'Server: Gameboy';

Auszug aus der Config:

http {

        ....
        
        server_tokens off;
        more_clear_headers Server;
        more_set_headers 'Server: Gameboy';

        ...

Ich habe festgestellt das wenn man einen LXC mit Debian 11 auf einem Proxmox laufen lässt, die Performance auf ssh ziemlich schlecht ist. Auch sudo dauert ziemlich lange (wenn man es verwendet)

Das liegt am Service systemd-logind wenn man diesen deaktiviert hat man wieder die gewohnte Performance.

Um zu verifizieren ob es an diesem Service liegt , grept einfach mal nach 'org.freedesktop.login1' in der Datei /var/log/auth.log

grep 'org.freedesktop.login1' /var/log/auth.log

wenn ihr dort Einträge findet, die wie folgt aussehen, liegt es vermutlich an diesem Dienst.

Failed to activate service 'org.freedesktop.login1': timed out (service_start_timeout=25000ms)

Problem wird dann mit diesen Befehl behoben (muss als root ausgeführt werden)

systemctl mask systemd-logind && pam-auth-update

Nach log4j kommt spring4shell , langsam nervt das ;(

Ein Kollege hat hier einen vulnerability scanner geschrieben um verdächtige Klassen auf einem System zu finden. z.G. ist das Tool in GO geschrieben und kann für jede Plattform kompiliert werden. Nachdem ich das jetzt bereits ausgiebig im Einsatz habe, kann ich sagen, das macht das Leben leichter.
https://github.com/hillu/local-spring-vuln-scanner

Ich benutze hier ein i3wm in Verbindung mit gnome-flashback, hier wird jedesmal ein Desktop gestartet. Um das zu unterbinden kann man mit dem dconf Editor den Desktop auf false setzen

dconf write /org/gnome/gnome-flashback/desktop false

um nur die icons zu deaktiveren kann man diesen Befehl absetzen

gsettings set org.gnome.gnome-flashback.desktop show-icons false

und um das komplett zu machen , um nur einige Icons zu entfernen kann diese Kette verwendet werden

gsettings set org.gnome.gnome-flashback.desktop.icons show-home false
gsettings set org.gnome.gnome-flashback.desktop.icons show-trash false

Ich verwende i3wm auf all meinen Geräten. Wie immer gibt es Kleinigkeiten die man gemacht hat aber nicht dokumentiert. Das zieh ich jetzt mal nach.

gsettings set org.gnome.Terminal.Legacy.Settings headerbar false
gsettings set org.gnome.Terminal.Legacy.Settings default-show-menubar false