Testando a Segurança do seu Site – Parte 1

Mostrando as Versões dos Programas do Servidor

Pelas razões já explicadas (um hacker pesquisando falhas de segurança conhecidas no programa que você roda), você deverá configurar os programas em seu servidor para não mostrarem seus nomes e versões.

Se você estiver usando o Apache, que é o programa servidor web mais popular disponível, você pode adicionar uma camada de segurança a mais, editando seu arquivo httpd.conf e adicionando o seguinte (não esqueça de reiniciar o Apache após o término):

ServerTokens Minimal

ServerSignature Off

Estas diretivas farão com que o Apache não mostre sua identidade em casos como o explicado na página anterior.

Se o seu servidor estiver rodando um programa FTP (o que é muito provável, já que ele permite que você suba arquivos para o seu servidor), você deverá verificar se ele mostra ou não seu nome e versão ao tentar fazer o login. A maioria dos servidores FTP permitirá que você modifique isto.

Por exemplo, a mensagem original mostrada pelo ProFTPD é algo como “220 ProFTPD 1.3.1 Server (Debian)”, que não só mostra seu nome e versão, como também o nome do sistema operacional (Debian).

No entanto, se você editar o arquivo proftpd.conf e adicionar as linhas apresentadas na Figura 7, ele mostrará apenas “220 FTP Server ready”, que é muito melhor, já que não fornece os detalhes do seu sistema.

Figura 7: Linhas de configuração para o ProFTPD não mostrar sua identificação.

É claro que esta configuração é válida somente para o ProFTPD e seu servidor poderá estar rodando um programa diferente. Nós queríamos lhe dar um exemplo real e mostrá-lo que tipo de coisa você deverá mudar em seu servidor.

Se você não tiver acesso total ao servidor onde seu site está hospedado, você deverá discutir essas configurações com sua empresa de hospedagem.