Hope This Helps

Nachdem ich erklärt habe wie man das für den nginx umsetzt wurde ich gefragt ob ich das auch für Apache erklären könnte. Ja kann ich

Problem : Entfernen des Apache Server Headers aus dem Response des Webservers



Lösung :

als erstes installieren & aktivieren wir die benötigten Module.

apt install libapache2-mod-security2 -y
a2enmod headers
systemctl restart apache2

In der Konfigurationsdatei /etc/apache2/conf-available/security.conf folgende Werte setzen

ServerTokens Prod
ServerSignature Off
Header set X-Content-Type-Options: "nosniff"
Header set Content-Security-Policy "frame-ancestors 'self';"

gefolgt von einem Neustart des Services

systemctl restart apache2

Um auch den Servernamen aus dem Response zu entfernen muss die Konfiguration angepasst werden.

SecRuleEngine DetectionOnly
ServerTokens Full
SecServerSignature "Gameboy"

gefolgt von einem Neustart des Services

systemctl restart apache2

Hier gibts mehr Informationen :
https://return42.github.io/handsOn/apache_setup/mod_security2.html
https://github.com/coreruleset/coreruleset
Hier hatte ich mal Ärger mit Grafana und mod_security

Problem : Entfernen des nginx server headers aus dem response des webservers



Lösung : Aus dem Security Aspekt sollte man diese Informationen entfernen.

Um nur die Server Version zu entfernen , reicht es in der config Datei /etc/nginx/nginx.conf den configparameter "server_tokens off;" zu setzen.

Will man den Namen nginx komplett aus den Headern entfernen , müssen noch einige Packete installiert werden.

apt install libnginx-mod-http-headers-more-filter

nach der Installation setzt man in der config noch folgende Parameter :

more_clear_headers Server;
more_set_headers 'Server: Gameboy';

Auszug aus der Config:

http {

        ....
        
        server_tokens off;
        more_clear_headers Server;
        more_set_headers 'Server: Gameboy';

        ...