Untuk mengatakan sebuah Web Server Aman atau tidak, tentunya ada banyak sekali komponen yg menentukan. Tapi, pada tulisan kali ini kita akan sedikit membahas salah satu cara untuk meningkatkan keamanan Apache Web Server yaitu dengan men-disable Header Apache.

Sekarang pertanyaannya adalah,

Apa yang dimaksud dengan header Apache?

Saat sebuah halaman situs mengalami error page, biasanya di bagian bawah halaman kita akan melihat beberapa informasi penting tentang versi, sistem operasi, dan beberapa informasi lainnya yang digunakan oleh situs tersebut. Nah, informasi yang muncul inilah yg disebut dengan server header. Berikut salah satu contoh yang mungkin muncul:

Server: Apache/2.0.53 (Ubuntu) PHP/5.6.10-16ubuntu4 Server at xx.xx.xx.xx Port 80

Dari contoh diatas, header server me-ekspos beberapa informasi berikut:

  • Sistem operasi yang digunakan adalah Ubuntu
  • Apache yg digunakan versi 2.0.53
  • PHP versi 5.6.10
  • IP server
  • Port yang digunakan.

Informasi ini, secara tidak langsung memberikan kemudahan untuk para hacker atau orang yg berniat jahat untuk mengidentifikasi sistem yg kita gunakan. Mereka cukup fokuskan mencari celah spesifik pada sistem yg dipakai.

Yang harus dilakukan?

Nah, untuk menyembunyikan informasi dari header server caranya cukup mudah. Kita hanya perlu merubah sedikit file konfigurasi httpd.conf (Red Hat dan turunannya) atau apache2.conf (Debian Dan turunannya). Yang perlu kita rubah adalah bagian ServerTokens dan ServerSignature. Langkah-langkahnya sebagai berikut:

  1. Login ke server dan beralih ke user root. Jika tidak mempunyai akses ke user root tapi masuk ke dalam sudoers, itu juga bisa.
  2. Buka dan edit file httpd.conf atau apache2.conf menggunakan text editor yg biasa digunakan. Dalam tulisan ini menggunakan nano.
    File konfigurasi Apache untuk keluarga Red Hat ada di /etc/httpd/conf/
    Untuk keluarga Debian ada di /etc/apache2/ atau /etc/apache/.Redhat/CentOS/Fedora:

    #nano /etc/httpd/conf/httpd.conf

    Debian/Ubuntu:

    #nano /etc/apache2/apache2.conf
  3. Cari baris yang terdapat kata ServerTokens. Jika menggunakan nano gunakan ctrl+w untuk mencari. Jika tidak ditemukan, cukup tambahkan dibaris paling bawah file konfigurasi tulisan berikut:
    ServerTokens Prod
  4. Hal yg sama juga lakukan untuk ServerSignature. Jika tidak ada tambahkan di baris paling bawah seperti berikut:

    ServerSignature Off
  5. Tutup file dengan perintah ctrl+x lalu pilih yes dan tekan enter.
  6. Restart service apache:
    Redhat/CentOS/Fedora

    systemctl restart httpd

    Debian/Ubuntu

    systemctl restart apache2

Penjelasan

Baris ServerTokens Prod memerintahkan Apache untuk menampilkan hanya tulisan Apache pada setiap request tanpa informasi versi.

Baris ServerSignature Off memerintahkan Apache untuk tidak menampilkan informasi apapun dibagian footer halaman.

Sampai disini kita sudah melakukan salah satu cara peningkatan keamanan Apache Web Server. Pada kesempatan berikutnya kita akan membahas konfigurasi lainnya untuk meningkatkan keamanan web server yg kita kelola.

Selamat Mencoba.