Стандартна сторінка Apache "It works!"

Так, залишати стандартну сторінку Apache ("It works!") публічно доступною — це потенційний ризик, хоча й не критичний сам по собі. Але він:

вказує, що сервер живий, що Apache встановлено і працює;
може видати тип ОС, версію Apache (через заголовки або банери);
підказує, що конфігурація за замовчуванням не змінена, що часто буває на недосвідчених або щойно розгорнутих системах.

Показує, що сервер використовує Apache.
Через HTTP-заголовки (наприклад, Server: Apache/2.4.58 (Ubuntu)) можна дізнатись точну версію.
Це дозволяє перевірити відомі уразливості (наприклад, через CVE).

Якщо конфігурація типова, деякі каталоги (наприклад, /server-status) можуть бути відкриті.
Можливість вгадати, де буде розміщено сайт, лог-файли, CGI-скрипти тощо.

Якщо не видалена стандартна сторінка, це може свідчити, що інші речі також не налаштовані належно (напр., безпечні дозволи, оновлення тощо).

Шлях до неї (для Ubuntu):

/var/www/html/index.html

Видалити або замінити:

sudo rm /var/www/html/index.html

Або створити власний index.html з нейтральним або кастомним вмістом.

В apache2.conf або в одному з conf-enabled/ файлів:

ServerTokens Prod
ServerSignature Off

Перезапусти Apache:

sudo systemctl restart apache2

Це прибере:

Перевір, щоб у VirtualHost не було відкрито:

Options Indexes

Або:

<Directory /var/www/html>
    Options -Indexes
</Directory>

Це забороняє перелік файлів у директоріях.

"It works!" — це не вразливість, але вона:

Найкраща практика — замінити її або прибрати, налаштувати ServerTokens і ServerSignature, і заборонити індексацію.

Last updated 17 days ago