Pesquisa de site

Como ocultar o número da versão do Apache e outras informações confidenciais

Quando solicitações remotas são enviadas ao seu servidor web Apache, por padrão, algumas informações valiosas, como o número da versão do servidor web, detalhes do sistema operacional do servidor, módulos Apache instalados e muito mais, são enviadas de volta ao cliente em documentos gerados pelo servidor.

Leia também: Como ocultar a versão do servidor Nginx no Linux

Esta é uma boa quantidade de informações para que invasores explorem vulnerabilidades e obtenham acesso ao seu servidor web. Para evitar a exibição de informações do servidor Web, mostraremos neste artigo como ocultar as informações do Apache Web Server usando diretivas específicas do Apache.

Leitura sugerida: 13 dicas úteis para proteger seu servidor Web Apache

As duas diretivas importantes são:

Assinatura do servidor

O que permite a adição de uma linha de rodapé mostrando o nome do servidor e o número da versão em documentos gerados pelo servidor, como mensagens de erro, listagens de diretórios mod_proxy ftp, saída mod_info e muito mais.

Possui três valores possíveis:

  1. Ativado – que permite a adição de uma linha de rodapé final em documentos gerados pelo servidor,
  2. Desligado – desativa a linha de rodapé e
  3. EMail – cria uma referência “mailto:”; que envia um email para o ServerAdmin do documento referenciado.
Tokens de servidor

Ele determina se o campo do cabeçalho de resposta do servidor enviado de volta aos clientes contém uma descrição do tipo de sistema operacional do servidor e informações sobre os módulos Apache habilitados.

Esta diretiva possui os seguintes valores possíveis (além de informações de amostra enviadas aos clientes quando o valor específico é definido):

ServerTokens   Full (or not specified) 
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 

ServerTokens   Prod[uctOnly] 
Info sent to clients: Server: Apache 

ServerTokens   Major 
Info sent to clients: Server: Apache/2 

ServerTokens   Minor 
Info sent to clients: Server: Apache/2.4 

ServerTokens   Min[imal] 
Info sent to clients: Server: Apache/2.4.2 

ServerTokens   OS 
Info sent to clients: Server: Apache/2.4.2 (Unix)

Nota: Após a versão 2.0.44 do Apache, a diretiva ServerTokens também controla as informações oferecidas pelo ServerSignature.

Leitura sugerida: 5 dicas para aumentar o desempenho do servidor Web Apache

Para ocultar o número da versão do servidor web, detalhes do sistema operacional do servidor, módulos Apache instalados e muito mais, abra o arquivo de configuração do servidor web Apache usando seu editor favorito:

sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems

E adicione/modifique/anexe as linhas abaixo:

ServerTokens Prod
ServerSignature Off

Salve o arquivo, saia e reinicie seu servidor web Apache assim:

sudo systemctl restart apache2  #SystemD
sudo service apache2 restart     #SysVInit

Neste artigo, explicamos como ocultar o número da versão do servidor web Apache e muito mais informações sobre o seu servidor web usando certas diretivas Apache.

Se você estiver executando PHP em seu servidor web Apache, sugiro que você oculte o número da versão do PHP.

Como de costume, você pode adicionar suas ideias a este guia por meio da seção de comentários abaixo.