Toggle sidebar

Paraneuer: Seversignatur in HTTP-Header verbergen oder ändern

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
O

oszilloskop

Benutzer
Registriert
12. Sep. 2011
Beiträge
7
Reaktionspunkte
0
Punkte
0
Hallo,

habe seit 2 Wochen ein DS211j. Es läuft unter anderem auch ein Webserver auf Port 80/443 und File Station auf Port 17000/17001 (alles vom Router durchgereicht).
Nun möchte ich ihn etwas sicherer gegen Angriffe von außen machen. Aus diesem Grunde habe ich mir mal den HTTP Header meiner Webseite anzeigen lassen.

Als Serversignatur gibt mein DS211j folgendes zurück: Apache/2.2.17 (Unix) mod_ssl/2.2.17 OpenSSL/1.0.0d PHP/5.3.6

Besteht evtl. die Möglichkeit die Versionsinformationen nicht ausgeben zu lassen?

ServerSignature Off soll beim Apache Server helfen. Nur finde ich leider keine Config-Datei wo ich dieses aktivieren bzw. eintragen kann.

Gruß
 
Mit folgendem Befehl könnt Ihr sehen, welche Informationen ein Hacker über euren Server erhält:

Rich (BBCode): 
wget -SO- "http://www.meindomainname.de" 2>&1 >/dev/null | grep Server
        ^
      wichtig

Nun kann der Hacker einen entsprechenden Exploit für die Serverversion auswählen und anwenden.
Und genau hier möchte ich ansetzen. Je weniger Information der Hacker über meinen Server weiß, desto besser für mich.
Es gibt eine Möglichkeit die Versionsnummer zu verbergen :) , ich weiss aber nicht wie :eek:
 
Hallo,

die Einstellung findest du in der /volume1/apps/xampp/apache/conf/extra/httpd-default.conf

Dort muss du ServerTokens und ServerSignature entspr. einstellen, am besten off!
Anschließend den Dienst neustarten.
Ich hoffe, dass hilft dir weiter.

Mfg

Frank
 
Ja klasse! Der Tip war gut, Danke!

Da ich die original Apache Server der DS meinte, habe ich jetzt folgende Dateien angepasst:

/usr/syno/apache/conf/extra/httpd-default.conf-sys
/usr/syno/apache/conf/extra/httpd-default.conf-user
/usr/syno/apache/conf/extra/httpd-default.conf-webdav

Verändert habe ich folgendes:
ServerTokens Prod
ServerSignature Off

Nachdem ich den wget Befehl auf meine lokale IP anstelle meiner Domain losgelassen habe, sehe ich jetzt, dass alle 3 Server (user, sys und webdav) nur noch folgendes melden:

wget -SO- 192.168.1.19 2>&1 >/dev/null | grep Server
Server: Apache
Server: Apache
Server: Apache

Genau so soll es sein :D

Nochmals Danke!

P.S.
An alle die sich dafür interessieren, wofür ServerTokens und ServerSignature stehen: http://kenntwas.de/2011/was-ist/apache-serversignatur-abschalten/
 
Na gut, dann hab ich den falschen Pfad ermittelt.

Wenn du in /usr/syno/apache../...-sys bzw. -user und -webdav einstellen konntest, wofür ist dann der Pfad in /volume1/apps/xampp ?
Dachte hier würde der eigentliche Webserver liegen, der nicht direkt für die Synology Umgebung zuständig ist.

Kann mich jmd aufklären? ;-) Vielen Dank!
 
Alles was unter /volume1 ist, hast du selbst dort abgelegt, nämlich mittels SMB, NFS oder AFP.

MfG Matthieu
 
Die Dateistruktur meiner neuen DS entzieht sich mir noch.....

Zur Info:
Jetzt noch schnell verhindern, das PHP seine Versionsinfo beim Webserver auf Port 80 im HTTP-Header per 'X-Powered-By' meldet.
In
/usr/syno/etc.defaults/php.ini
/usr/syno/etc/php.ini
habe ich 'expose_php = Off' gesetzt

Testen kann man das mit der lokalen IP (bei mir 192.168.1.19) wie folgt:
wget -SO- 192.168.1.19 2>&1 >/dev/null | grep X-Powered-By
 
Noch eine kleine Anmerkung: Viele Einstellungen werden bei einem Neustart der DS überschrieben. Muss man je Datei testen und ggf. in Startskripte bauen.

MfG Matthieu
 
Danke für den Tip.

Da ich nicht wusste, was der Unterschied der beiden php.ini Dateien ist, habe ich es gleich in beiden geändert :cool:
Nach einem Neustart der DS funktioniert bei mir alles wie gewünscht.
 
Hmmm, wenn man dann auf seiner Webseite irgendwo einen Hinweis hinterläßt, dass man auf einer Disk-Station spielt, dann kann sich natürlich jeder die Firmware downloaden und selbst nachschauen, welche Versionen üblich sind ...

Itari
 
Naja und ganz findige Besucher könnten meinen, dass da jemand etwas verbergen will!
Sollten diese Besucher zufällig ...

... das kann jeder für sich selber weiterspinnen. ;)
 
Klar, alles absichern ist schwierig. Ich möchte aber alle mir bekannten Möglichkeiten nutzen.
Es fängt schon mit der DS Error 404 Seite an. Das ist normalerweise schon ein Hinweis auf Synology also auf eine DS.
Weiter geht es mit File Station, Photo Station, etc. . Durch diese Dienste kann auch ganz schnell auf eine DS geschlossen werden.
Dieses setzt aber voraus, dass alle Serveranfragen manuell abgesetzt und alle Antworten auch manuell ausgewertet werden.
Mit meiner Lösung halte ich mir einfach nur die Script-Kiddies etwas auf Abstand.

@Ap0phis:
Also ich schließe meine Wohnungstür nicht ab, weil ich etwas zu verbergen habe. Das wissen die Diebe hoffentlich auch. Ich versuche nur mein Eigentum so gut es geht zu schützen. Mit entsprechendem Aufwand kommt jeder rein. Das Ziel heiligt aber zum Glück nicht immer die Mittel.

Schau dir nur mal professionell betreute Seiten im Netz an. Da findest Du kaum Versionsnummern der Web-Server. Selbst hier die Forumsbetreiber sind klüger als die Betreiber von www.synology.com. Wie man so hört, läuft da noch eine nicht mehr ganz aktuelle Version des Apache-Servers.

Gruß
 
Zuletzt bearbeitet:
oszilloskop schrieb:
@Ap0phis:
Also ich schließe meine Wohnungstür nicht ab, weil ich etwas zu verbergen habe. Das wissen die Diebe hoffentlich auch. Ich versuche nur mein Eigentum so gut es geht zu schützen. Mit entsprechendem Aufwand kommt jeder rein. ...
Zum Vergrößern anklicken....
Schönes Beispiel!
Dann hast du bestimmt auch deine Hausnummer und Namensschilder an Klingel und Briefkasten entfernt!?

*Nur Spaß!* Jeder so, wie er mag! ;)
 
oszilloskop schrieb:
Selbst hier die Forumsbetreiber sind klüger als die Betreiber von ...
Zum Vergrößern anklicken....

Das Forum hier hilft uns ja auch dabei, die Weltherrschaft zu erlangen, deswegen muss der Forumsbetreiber 'klug' sein.

Itari
 
Naja, mit der Paranoia ist das halt immer so eine Sache... ;)
 
Zuletzt bearbeitet:
Dann würd ich aber nicht die ganzen Angaben über Server und Versionen verbergen, sondern andere, komplett falsche aber theoretisch mögliche Angaben reinschreiben. Das ist dann wie einen falschen Schlüssel unter die Fußmatte zu legen. Hilft jetzt nicht wirklich sicherer aber lustiger. Wie neulich, als ich SQL-Injektionsversuche hatte, auf ner Seite, die gar keine Datenbank benutzt.
 
@oszilloskop

möchte mich für deinen Tipp herzlich bedanken :)
Als ich noch die PhotoStation nutze, hat mich der Hinweis im Footer auch gestört, weshalb ich diesen per CSS ausgeblendet hatte. Viele z.B. der Open Source CMS setzen gerne im Quellcode auch einen Meta-Tag mit dem Hinweis auf das genutzte CMS ab. Diesen "Hinweis" hatte ich, sofern keine Pflicht bestand im Footer darauf hinzuweisen, auch immer gleich entfernt.

Dein Tipp schliesslich hat mich nun dazu gebracht doch endlich mal mich mit dem SSH/Telnet und deren Befehle auseinanderzusetzen.

Die Tipps von dir konnte ich umsetzen und nach einem Restart des Apache Servers (/usr/syno/etc/rc.d/S97apache-user.sh restart) lief es wie gewünscht. Abschließend durch die Anmerkung von Matthieu führte ich auch einen Neustart der DS aus und auch danach lief alles wie gewünscht.

Getestet habe ich das unter: http://web-sniffer.net/

Zum Schluss: Dank diesem Forum konnte ich auch meine eigene Error-404 Seite erstellen.
 
Holgo schrieb:
Dann würd ich aber nicht die ganzen Angaben über Server und Versionen verbergen, sondern andere, komplett falsche aber theoretisch mögliche Angaben reinschreiben. Das ist dann wie einen falschen Schlüssel unter die Fußmatte zu legen. Hilft jetzt nicht wirklich sicherer aber lustiger.
Zum Vergrößern anklicken....

Sehr netter Gedanke und .... das ist gar nicht so verkehrt.

Itari
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten