Escondendo a versão dos serviços que estão rodando em seu servidor para aumentar a segurança

Publicado por Sérgio Abrantes Junior em 27/03/2008

[ Hits: 13.066 ]

Blog: https://br.linkedin.com/in/sergioabrantes

 


Escondendo a versão dos serviços que estão rodando em seu servidor para aumentar a segurança



PessoALL,

Importante para a segurança de um servidor é esconder a versão de seus serviços para que o invasor não fique procurando uma falha de segurança para aquela versão específica do daemon.

Então vamos ocultar alguns serviços mais utilizados:

Proftpd

Basta adicionar a seguinte linha no proftpd.conf:

ServerIdent on ""

A linha acima informa a versão do serviço como sendo "", isso quer dizer que será em branco.

Para validar é necessário reiniciar o Proftpd.

SSH

Já esse é necessário baixar o fonte do site oficial www.openssh.com/ e compilar : D

Após descompactar, terá um arquivo chamado version.h. Altere o conteúdo da seguinte linha:

#define SSH_VERSION ""

Depois é só compilar normalmente com ./configure, make e make install.

Obs.: O ssh escuta por padrão na porta 22. É altamente recomendável alterar essa porta para qualquer outra porta.

Apache

O Apache, assim como o Proftpd, basta apenas acrescentar uma opção em seu conf conforme a linha baixo:

ServerTokens Prod

Necessário reiniciar o serviço também.

Para testar se as versões dos daemons estão ocultadas, use o nmap para verificar conforme o exemplo:

# nmap localhost -sV
  
Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2008-03-05 09:46 BRT
Interesting ports on localhost (127.0.0.1):
(The 1658 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE     VERSION
21/tcp   open  ftp?
8080/tcp open  http        Apache httpd
Nmap run completed -- 1 IP address (1 host up) scanned in 100.332 seconds

Porque o ssh não apareceu quando utilizados o nmap para varrer as portas da máquina?

Porque foi alterada para uma porta que não está na lista que o nmap utiliza que está em /usr/share/nmap/nmap-services.

Alguns outros programas identificam o tipo de serviço em qualquer porta que seja, mas não saberá a versão do serviço. Um outro programa que pode ser usado é o Nessus para esse tipo de verificação.

Sérgio Abrantes Junior

Outras dicas deste autor

Slackbuilds.org: Instalando pacotes para o Slackware Linux

Verificando erros na instalação do Squid

LILO: undefined video mode number

Instalando o flash player do Mozilla Firefox no Slackware Linux

Configurar som no Linux através do ALSA

Leitura recomendada

Criptografia do diretório HOME no Debian

Bloqueando Facebook pelo IPtables

"Macete" para autenticar com pam_auth

Bloqueie o acesso à sua máquina

Impedindo usuário de logar

  

Comentários
[1] Comentário enviado por uberalles em 27/03/2008 - 22:22h

Excelente compilação!

[2] Comentário enviado por pelo em 27/03/2008 - 22:28h

Valeu : )

[3] Comentário enviado por professordavid em 28/03/2008 - 08:13h

Muito bom amigo.... excelente dica.

Acho que deviamos aproveitar e colaborar colocando outros serviços além destes nos coments desta dica..

Mesmo assim já está de parabéns!! Valeu!

[4] Comentário enviado por letifer em 28/03/2008 - 10:23h

Muito útil, bom trabalho.

Concordo com o professordavid que devamos colaborar com as alterações de outros serviços relevantes.

[5] Comentário enviado por m4cgbr em 27/04/2012 - 01:21h

Excelente dica, eu mesmo me preocupei com isso no início, porém se o cidadão souber usar um exploit como por exemplo o <b>w3af</b> ele consegue obter as versões.

Além disso tem como pelo próprio nmap efetuar varreduras mais intensas, segue exemplo: nmap -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 xxx.xxx.xxx.xxx

Ao menos ocultar a versão dos daemons inicialmente é uma camada a mais para proteção contra os menos experientes.

Quem não conhece, fica a dica desse excelente Framework http://packages.debian.org/sid/w3af

Linux is LIFE

T+



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts