Como ocultar a versão Apache e PHP dos cabeçalhos HTTP
- 3125
- 176
- Mrs. Willie Beahan
Quando você está executando um site ou aplicativo da web, é essencial manter a segurança e a integridade do seu servidor. Uma das etapas mais simples, porém mais importantes. Por padrão, essas informações são expostas em cabeçalhos de resposta HTTP, potencialmente tornando seu servidor mais vulnerável a ataques.
Neste artigo, mostraremos como ocultar informações da versão Apache e PHP dos cabeçalhos HTTP para melhorar a segurança do seu servidor.
Etapa 1: Compreendendo os riscos de versões expostas
Expondo informações de versão do Apache e PHP podem não parecer um risco de segurança significativo. No entanto, pode facilitar para os hackers identificar vulnerabilidades conhecidas específicas para essas versões. Ao ocultar essas informações, você está reduzindo a possibilidade de ataques direcionados e potencialmente diminuindo o progresso de um invasor.
Etapa 2: Verifique os detalhes do cabeçalho
Você pode usar o comando Curl ou WGET para buscar os detalhes do cabeçalho de qualquer site através da linha de comando.
WGE.com/índice.php
Observe os detalhes acima e mantenha -os para comparação mais tarde. Vamos seguir as etapas para ocultar detalhes.
Etapa 3: Hiding Apache Version Information
Para ocultar as informações da versão Apache, você precisa modificar seu arquivo de configuração principal, normalmente localizado em “/etc/httpd/conf/httpd.conf ”ou“/etc/apache2/conf-habilitado/segurança.conf ”, dependendo do seu sistema.
- Abra o arquivo de configuração do Apache com um editor de texto, como Nano ou VI:
sudo nano/etc/httpd/conf/httpd.conf
## Redhat Systemssudo nano/etc/apache2/conf-habilitado/segurança.conf
## Sistemas Debian - Localize o “Servertokens” e “ServidorSignature” diretivas. Se eles não existirem, adicione -os ao arquivo. Atualize essas diretivas da seguinte forma: Servertokens Prod ServerSignature Off
12 SERVERTOKENS PRODSERVERSIGNUTION O “Servertokens Prod” A diretiva diz ao Apache para exibir apenas a palavra "Apache" sem nenhuma informação da versão. O “Designature Off” Diretiva desativa a assinatura do servidor nas páginas de erro.
- Salvar e fechar o arquivo de configuração. Depois de modificar o arquivo de configuração, você precisa reiniciar o Apache para que as alterações entrem em vigor:
sudo systemctl reiniciar httpd
## Redhat Systemssudo systemctl reiniciar apache2
## Sistemas Debian
Etapa 4: Hiding PHP Version Information
Para ocultar as informações da versão PHP, você precisa modificar o arquivo de configuração do PHP, geralmente chamado de php.ini, que pode ser encontrado em diferentes locais, dependendo do seu sistema.
- Abra o php.ini Arquivo com um editor de texto:
sudo nano/etc/php/7.4/apache2/php.ini
Substituir "7.4 ” com sua versão PHP se diferente.
- Localize o “Expose_php” diretivo. Se não existir, adicione -o ao arquivo. Atualize esta diretiva da seguinte maneira: expose_php = off
1 expose_php = off Esta configuração desativa a exposição da versão PHP nos cabeçalhos de resposta HTTP.
Salvar e fechar o arquivo de configuração.
- Depois de editar o PHP.Arquivo INI, reinicie o serviço Apache para que as alterações entrem em vigor:
sudo systemctl reiniciar httpd
## Redhat Systemssudo systemctl reiniciar apache2
## Sistemas Debian
Etapa 5: Verificando as mudanças
Para verificar se as alterações foram aplicadas com sucesso, você pode usar um verificador de cabeçalho HTTP on-line ou uma ferramenta de linha de comando como o CURL:
WGE.com/índice.php
Substituir "seu domínio.com ” Com seu domínio real. A saída não deve conter nenhuma informação da versão apache ou php
Dicas de segurança adicionais
Embora ocultar as informações da versão Apache e PHP seja um bom ponto de partida, há outras etapas que você pode seguir para melhorar a segurança do seu servidor:
- Mantenha seu software atualizado: Atualize regularmente seu sistema operacional, Apache, PHP e qualquer outro software que você instalou. Isso garante que você tenha os mais recentes patches e correções de segurança.
- Desativar módulos não utilizados: Ative apenas os módulos Apache e PHP necessários para o seu aplicativo da web. Desativar módulos desnecessários reduz a superfície de ataque.
- Configurar permissões estritas de acesso: Certifique -se de que arquivos e diretórios sensíveis tenham permissões estritas de acesso, impedindo o acesso não autorizado.
- Implementar um firewall de aplicativos da web (WAF): Um WAF pode ajudar a proteger seu aplicativo da Web contra ataques comuns, como injeção de SQL e scripts cross-sites (XSS).
- Use https: Criptografar a comunicação entre seu servidor e os clientes, permitindo HTTPS com um certificado SSL válido.
Conclusão
Ocultar informações da versão Apache e PHP dos cabeçalhos HTTP é uma etapa simples, mas crucial, para garantir seu servidor da Web. Ao ocultar essas informações, você torna mais difícil para os invasores segmentar vulnerabilidades conhecidas em seu software. Juntamente com atualizações regulares de software, permissões rígidas de acesso e outras medidas de segurança, você pode reduzir significativamente a exposição do seu servidor a possíveis ataques.
- « Como configurar o Red5 Media Server no CentOS/RHEL 7/6/5
- Como configurar o repositório ATRPMS YUM no CentOS/Rhel e Fedora »