Paraneuer: Seversignatur in HTTP-Header verbergen oder ändern

[oszilloskop]

Hallo,

habe seit 2 Wochen ein DS211j. Es läuft unter anderem auch ein Webserver auf Port 80/443 und File Station auf Port 17000/17001 (alles vom Router durchgereicht).
Nun möchte ich ihn etwas sicherer gegen Angriffe von außen machen. Aus diesem Grunde habe ich mir mal den HTTP Header meiner Webseite anzeigen lassen.

Als Serversignatur gibt mein DS211j folgendes zurück: Apache/2.2.17 (Unix) mod_ssl/2.2.17 OpenSSL/1.0.0d PHP/5.3.6

Besteht evtl. die Möglichkeit die Versionsinformationen nicht ausgeben zu lassen?

ServerSignature Off soll beim Apache Server helfen. Nur finde ich leider keine Config-Datei wo ich dieses aktivieren bzw. eintragen kann.

Gruß

 

[oszilloskop]

Mit folgendem Befehl könnt Ihr sehen, welche Informationen ein Hacker über euren Server erhält:

wget -SO- "http://www.meindomainname.de" 2>&1 >/dev/null | grep Server
        ^
      wichtig

Nun kann der Hacker einen entsprechenden Exploit für die Serverversion auswählen und anwenden.
Und genau hier möchte ich ansetzen. Je weniger Information der Hacker über meinen Server weiß, desto besser für mich.
Es gibt eine Möglichkeit die Versionsnummer zu verbergen , ich weiss aber nicht wie

 

[Stabmaster]

Hallo,

die Einstellung findest du in der /volume1/apps/xampp/apache/conf/extra/httpd-default.conf

Dort muss du ServerTokens und ServerSignature entspr. einstellen, am besten off!
Anschließend den Dienst neustarten.
Ich hoffe, dass hilft dir weiter.

Mfg

Frank

 

[petehild]

die Einstellung findest du in der /volume1/apps/xampp/apache/conf/extra/httpd-default.conf

Liegen die configs nicht unter: /usr/syno/apache/conf/extra/httpd-default.conf-* ?

Gruß
Pete

 

[oszilloskop]

Ja klasse! Der Tip war gut, Danke!

Da ich die original Apache Server der DS meinte, habe ich jetzt folgende Dateien angepasst:

/usr/syno/apache/conf/extra/httpd-default.conf-sys
/usr/syno/apache/conf/extra/httpd-default.conf-user
/usr/syno/apache/conf/extra/httpd-default.conf-webdav

Verändert habe ich folgendes:
ServerTokens Prod
ServerSignature Off

Nachdem ich den wget Befehl auf meine lokale IP anstelle meiner Domain losgelassen habe, sehe ich jetzt, dass alle 3 Server (user, sys und webdav) nur noch folgendes melden:

wget -SO- 192.168.1.19 2>&1 >/dev/null | grep Server
Server: Apache
Server: Apache
Server: Apache

Genau so soll es sein

Nochmals Danke!

P.S.
An alle die sich dafür interessieren, wofür ServerTokens und ServerSignature stehen: http://kenntwas.de/2011/was-ist/apache-serversignatur-abschalten/

 

[Stabmaster]

Na gut, dann hab ich den falschen Pfad ermittelt.

Wenn du in /usr/syno/apache../...-sys bzw. -user und -webdav einstellen konntest, wofür ist dann der Pfad in /volume1/apps/xampp ?
Dachte hier würde der eigentliche Webserver liegen, der nicht direkt für die Synology Umgebung zuständig ist.

Kann mich jmd aufklären? ;-) Vielen Dank!

 

[petehild]

[...] wofür ist dann der Pfad in /volume1/apps/xampp ?

Öhm, also bei mir gibt es den Pfand gar nicht...
Bei mir scheitert es schon bei "apps"

Grüße
Pete

 

[Matthieu]

Alles was unter /volume1 ist, hast du selbst dort abgelegt, nämlich mittels SMB, NFS oder AFP.

MfG Matthieu

 

[oszilloskop]

Die Dateistruktur meiner neuen DS entzieht sich mir noch.....

Zur Info:
Jetzt noch schnell verhindern, das PHP seine Versionsinfo beim Webserver auf Port 80 im HTTP-Header per 'X-Powered-By' meldet.
In
/usr/syno/etc.defaults/php.ini
/usr/syno/etc/php.ini
habe ich 'expose_php = Off' gesetzt

Testen kann man das mit der lokalen IP (bei mir 192.168.1.19) wie folgt:
wget -SO- 192.168.1.19 2>&1 >/dev/null | grep X-Powered-By

 

[Matthieu]

Noch eine kleine Anmerkung: Viele Einstellungen werden bei einem Neustart der DS überschrieben. Muss man je Datei testen und ggf. in Startskripte bauen.

MfG Matthieu

 

[oszilloskop]

Danke für den Tip.

Da ich nicht wusste, was der Unterschied der beiden php.ini Dateien ist, habe ich es gleich in beiden geändert
Nach einem Neustart der DS funktioniert bei mir alles wie gewünscht.

 

[itari]

Hmmm, wenn man dann auf seiner Webseite irgendwo einen Hinweis hinterläßt, dass man auf einer Disk-Station spielt, dann kann sich natürlich jeder die Firmware downloaden und selbst nachschauen, welche Versionen üblich sind ...

Itari

 

[Ap0phis]

Naja und ganz findige Besucher könnten meinen, dass da jemand etwas verbergen will!
Sollten diese Besucher zufällig ...

... das kann jeder für sich selber weiterspinnen.

 

[oszilloskop]

Klar, alles absichern ist schwierig. Ich möchte aber alle mir bekannten Möglichkeiten nutzen.
Es fängt schon mit der DS Error 404 Seite an. Das ist normalerweise schon ein Hinweis auf Synology also auf eine DS.
Weiter geht es mit File Station, Photo Station, etc. . Durch diese Dienste kann auch ganz schnell auf eine DS geschlossen werden.
Dieses setzt aber voraus, dass alle Serveranfragen manuell abgesetzt und alle Antworten auch manuell ausgewertet werden.
Mit meiner Lösung halte ich mir einfach nur die Script-Kiddies etwas auf Abstand.

@Ap0phis:
Also ich schließe meine Wohnungstür nicht ab, weil ich etwas zu verbergen habe. Das wissen die Diebe hoffentlich auch. Ich versuche nur mein Eigentum so gut es geht zu schützen. Mit entsprechendem Aufwand kommt jeder rein. Das Ziel heiligt aber zum Glück nicht immer die Mittel.

Schau dir nur mal professionell betreute Seiten im Netz an. Da findest Du kaum Versionsnummern der Web-Server. Selbst hier die Forumsbetreiber sind klüger als die Betreiber von www.synology.com. Wie man so hört, läuft da noch eine nicht mehr ganz aktuelle Version des Apache-Servers.

Gruß

 

[Ap0phis]

@Ap0phis:
Also ich schließe meine Wohnungstür nicht ab, weil ich etwas zu verbergen habe. Das wissen die Diebe hoffentlich auch. Ich versuche nur mein Eigentum so gut es geht zu schützen. Mit entsprechendem Aufwand kommt jeder rein. ...

Schönes Beispiel!
Dann hast du bestimmt auch deine Hausnummer und Namensschilder an Klingel und Briefkasten entfernt!?

*Nur Spaß!* Jeder so, wie er mag!

 

[itari]

Selbst hier die Forumsbetreiber sind klüger als die Betreiber von ...

Das Forum hier hilft uns ja auch dabei, die Weltherrschaft zu erlangen, deswegen muss der Forumsbetreiber 'klug' sein.

Itari

 

[petehild]

Naja, mit der Paranoia ist das halt immer so eine Sache...

 

[Holgo]

Dann würd ich aber nicht die ganzen Angaben über Server und Versionen verbergen, sondern andere, komplett falsche aber theoretisch mögliche Angaben reinschreiben. Das ist dann wie einen falschen Schlüssel unter die Fußmatte zu legen. Hilft jetzt nicht wirklich sicherer aber lustiger. Wie neulich, als ich SQL-Injektionsversuche hatte, auf ner Seite, die gar keine Datenbank benutzt.

 

[Breitkrug]

@oszilloskop

möchte mich für deinen Tipp herzlich bedanken
Als ich noch die PhotoStation nutze, hat mich der Hinweis im Footer auch gestört, weshalb ich diesen per CSS ausgeblendet hatte. Viele z.B. der Open Source CMS setzen gerne im Quellcode auch einen Meta-Tag mit dem Hinweis auf das genutzte CMS ab. Diesen "Hinweis" hatte ich, sofern keine Pflicht bestand im Footer darauf hinzuweisen, auch immer gleich entfernt.

Dein Tipp schliesslich hat mich nun dazu gebracht doch endlich mal mich mit dem SSH/Telnet und deren Befehle auseinanderzusetzen.

Die Tipps von dir konnte ich umsetzen und nach einem Restart des Apache Servers (/usr/syno/etc/rc.d/S97apache-user.sh restart) lief es wie gewünscht. Abschließend durch die Anmerkung von Matthieu führte ich auch einen Neustart der DS aus und auch danach lief alles wie gewünscht.

Getestet habe ich das unter: http://web-sniffer.net/

Zum Schluss: Dank diesem Forum konnte ich auch meine eigene Error-404 Seite erstellen.

 

[itari]

Dann würd ich aber nicht die ganzen Angaben über Server und Versionen verbergen, sondern andere, komplett falsche aber theoretisch mögliche Angaben reinschreiben. Das ist dann wie einen falschen Schlüssel unter die Fußmatte zu legen. Hilft jetzt nicht wirklich sicherer aber lustiger.

Sehr netter Gedanke und .... das ist gar nicht so verkehrt.

Itari