Enviar menos información sobre Apache

Por el motivo que sea puede que quieran que el servidor web Apache desvele algo menos de información de la que acostumbra. Para ello hay un par de directivas muy interesantes y que se configuran, al menos en el caso de Debian, en el archivo /etc/apache2/conf.d/security:

  • ServerSignature. Es la más conocida y la responsable de que cuando Apache devuelve un documento generado por él mismo, como mensajes de error, en el pie del mismo informe de su versión, sistema operativo, correo del administrador,.. Para evitarlo se cambia su parámetro a off, quedando: ServerSignature Off.
  • ServerTokens. Es la que dice qué información se devuelve, tanto en el pie de página —si lo está— como en las cabeceras de la respuesta del servidor web. Tiene varios niveles de mostrar información. El más restrictivo consiste en sólo informar del nombre del servidor web: Apache. Esto se logra con el parámetro Prod: ServerTokens Prod.

Apache sería pues un poco más disimulado con la información del servidor web que envía al cliente —también a nivel de cabeceras:

Enviar menos información sobre Apache