Autor: Stefan Tschersich Division-IT Consulting http://division-it.de

Bei diesem Tutorial wird folgendes vorausgesetzt:

• Apache 2.2.x, PHP5, MySQL 5.1.x und Shopware 3.5.x sind installiert und laufen bereits einwandfrei zusammen.
• Grundsätzliches Wissen über das Installieren von Paketen auf dem Betriebssystem
• Root-Rechte bzw. Vollzugriff auf Configs und die Start-/Stopscripte von Apache und MySQL
• Ihr wißt, wo sich Eure Konfigurationsdateien für Apache2 und MySQL befinden und wie ihr beide durchstartet
• Ihr wißt, wo Eure php.ini liegt
• Firefox mit installiertem Firebug Add-On zur Überprüfung der Ergebnisse

Kommandos und Pfade werden sich auf eine Linux Shell unter Debian Squeeze beziehen. Auf anderen Linux-Systemen sind sie leicht anzupassen.

Der erste Schritt hat mit Tuning eigentlich nichts zu tun, wird aber in produktiven Systemen gern vergessen und gibt potentiellen Angreifern nützliche Tipps, wie Eure Umgebung aussieht.

Zunächst öffnen wir mal Firefox und aktivieren Firebug (und das Netzwerk) und laden Eure Shop-Startseite, z.B.: http://www.meineshopdomain.de In Firebug jetzt auf das Pluszeichen links neben die erste URL klicken und wir sehen den http Antwort-Header des Apache. Interessant sind in diesem Schritt zwei Zeilen:

 
Server Apache/2.2.16 (Linux) PHP/5.3 with Suhosin-Patch undweiterenetteinfos...
X-Powered-By PHP/5.3.3
 

• Apache Config öffnen und Zeile ServerTokens suchen den Eintrag wie folgt modifizieren:

 
ServerTokens Prod
 

• php.ini öffnen und Zeile expose_phh suchen und den Eintrag auf Wert Off stellen:

 
expose_php = Off
 

Jetzt noch den Apache durchstarten, z.B. so:

 
/etc/init.d/apache2 restart
 

... und das Ergebnis durch Neuladen in Firebug überprüfen: Voilà, die X-Powered-By Zeile ist weg und der Server sagt nur noch "Apache".