Escondendo a versão dos serviços que estão rodando em seu servidor para aumentar a segurança

Publicado por Sérgio Abrantes Junior em 27/03/2008

[ Hits: 11.077 ]

Blog: https://br.linkedin.com/in/sergioabrantes

 


Escondendo a versão dos serviços que estão rodando em seu servidor para aumentar a segurança



PessoALL,

Importante para a segurança de um servidor é esconder a versão de seus serviços para que o invasor não fique procurando uma falha de segurança para aquela versão específica do daemon.

Então vamos ocultar alguns serviços mais utilizados:

Proftpd

Basta adicionar a seguinte linha no proftpd.conf:

ServerIdent on ""

A linha acima informa a versão do serviço como sendo "", isso quer dizer que será em branco.

Para validar é necessário reiniciar o Proftpd.

SSH

Já esse é necessário baixar o fonte do site oficial www.openssh.com/ e compilar : D

Após descompactar, terá um arquivo chamado version.h. Altere o conteúdo da seguinte linha:

#define SSH_VERSION ""

Depois é só compilar normalmente com ./configure, make e make install.

Obs.: O ssh escuta por padrão na porta 22. É altamente recomendável alterar essa porta para qualquer outra porta.

Apache

O Apache, assim como o Proftpd, basta apenas acrescentar uma opção em seu conf conforme a linha baixo:

ServerTokens Prod

Necessário reiniciar o serviço também.

Para testar se as versões dos daemons estão ocultadas, use o nmap para verificar conforme o exemplo:

# nmap localhost -sV
  
Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2008-03-05 09:46 BRT
Interesting ports on localhost (127.0.0.1):
(The 1658 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE     VERSION
21/tcp   open  ftp?
8080/tcp open  http        Apache httpd
Nmap run completed -- 1 IP address (1 host up) scanned in 100.332 seconds

Porque o ssh não apareceu quando utilizados o nmap para varrer as portas da máquina?

Porque foi alterada para uma porta que não está na lista que o nmap utiliza que está em /usr/share/nmap/nmap-services.

Alguns outros programas identificam o tipo de serviço em qualquer porta que seja, mas não saberá a versão do serviço. Um outro programa que pode ser usado é o Nessus para esse tipo de verificação.

Sérgio Abrantes Junior

Outras dicas deste autor

Treinamento on-line e gratuito - Introdução ao Slackware Linux

Configurar som no Linux através do ALSA

Configurando scroll de mouse PS/2 no Slackware Linux

Squid3 Debian - Erro Google Chrome - NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM [Resolvido]

Verificando erros na instalação do Squid

Leitura recomendada

Configurando o APT do seu Ubuntu para usar o proxy

Evitar boot sem senha no modo single

Recuperar senha de root

Securing Apache2/PHP7 on Linux/Unix (Basic)

Fail2ban em servidor SSH

  

Comentários
[1] Comentário enviado por uberalles em 27/03/2008 - 22:22h

Excelente compilação!

[2] Comentário enviado por pelo em 27/03/2008 - 22:28h

Valeu : )

[3] Comentário enviado por professordavid em 28/03/2008 - 08:13h

Muito bom amigo.... excelente dica.

Acho que deviamos aproveitar e colaborar colocando outros serviços além destes nos coments desta dica..

Mesmo assim já está de parabéns!! Valeu!

[4] Comentário enviado por letifer em 28/03/2008 - 10:23h

Muito útil, bom trabalho.

Concordo com o professordavid que devamos colaborar com as alterações de outros serviços relevantes.

[5] Comentário enviado por m4cgbr em 27/04/2012 - 01:21h

Excelente dica, eu mesmo me preocupei com isso no início, porém se o cidadão souber usar um exploit como por exemplo o <b>w3af</b> ele consegue obter as versões.

Além disso tem como pelo próprio nmap efetuar varreduras mais intensas, segue exemplo: nmap -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 xxx.xxx.xxx.xxx

Ao menos ocultar a versão dos daemons inicialmente é uma camada a mais para proteção contra os menos experientes.

Quem não conhece, fica a dica desse excelente Framework http://packages.debian.org/sid/w3af

Linux is LIFE

T+



Contribuir com comentário