Como ocultar o número da versão do Apache e outras informações confidenciais
Quando solicitações remotas são enviadas ao seu servidor web Apache, por padrão, algumas informações valiosas, como o número da versão do servidor web, detalhes do sistema operacional do servidor, módulos Apache instalados e muito mais, são enviadas de volta ao cliente em documentos gerados pelo servidor.
Leia também: Como ocultar a versão do servidor Nginx no Linux
Esta é uma boa quantidade de informações para que invasores explorem vulnerabilidades e obtenham acesso ao seu servidor web. Para evitar a exibição de informações do servidor Web, mostraremos neste artigo como ocultar as informações do Apache Web Server usando diretivas específicas do Apache.
Leitura sugerida: 13 dicas úteis para proteger seu servidor Web Apache
As duas diretivas importantes são:
Assinatura do servidor
O que permite a adição de uma linha de rodapé mostrando o nome do servidor e o número da versão em documentos gerados pelo servidor, como mensagens de erro, listagens de diretórios mod_proxy ftp, saída mod_info e muito mais.
Possui três valores possíveis:
- Ativado – que permite a adição de uma linha de rodapé final em documentos gerados pelo servidor,
- Desligado – desativa a linha de rodapé e
- EMail – cria uma referência “mailto:”; que envia um email para o ServerAdmin do documento referenciado.
Tokens de servidor
Ele determina se o campo do cabeçalho de resposta do servidor enviado de volta aos clientes contém uma descrição do tipo de sistema operacional do servidor e informações sobre os módulos Apache habilitados.
Esta diretiva possui os seguintes valores possíveis (além de informações de amostra enviadas aos clientes quando o valor específico é definido):
ServerTokens Full (or not specified)
Info sent to clients: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
Info sent to clients: Server: Apache
ServerTokens Major
Info sent to clients: Server: Apache/2
ServerTokens Minor
Info sent to clients: Server: Apache/2.4
ServerTokens Min[imal]
Info sent to clients: Server: Apache/2.4.2
ServerTokens OS
Info sent to clients: Server: Apache/2.4.2 (Unix)
Nota: Após a versão 2.0.44 do Apache, a diretiva ServerTokens também controla as informações oferecidas pelo ServerSignature.
Leitura sugerida: 5 dicas para aumentar o desempenho do servidor Web Apache
Para ocultar o número da versão do servidor web, detalhes do sistema operacional do servidor, módulos Apache instalados e muito mais, abra o arquivo de configuração do servidor web Apache usando seu editor favorito:
sudo vi /etc/apache2/apache2.conf #Debian/Ubuntu systems
sudo vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
E adicione/modifique/anexe as linhas abaixo:
ServerTokens Prod
ServerSignature Off
Salve o arquivo, saia e reinicie seu servidor web Apache assim:
sudo systemctl restart apache2 #SystemD
sudo service apache2 restart #SysVInit
Neste artigo, explicamos como ocultar o número da versão do servidor web Apache e muito mais informações sobre o seu servidor web usando certas diretivas Apache.
Se você estiver executando PHP em seu servidor web Apache, sugiro que você oculte o número da versão do PHP.
Como de costume, você pode adicionar suas ideias a este guia por meio da seção de comentários abaixo.