如何在Linux服务器中隐藏PHP版本

经常来讲,大好些个默许设置安装的web服务器存在新闻外泄,那之中之一正是PHP。PHP
是现行反革命流行的劳动端html嵌入式语言(之一?)。在今天以此充满挑战的时日,有那多少个攻击者会尝试开采你服务端的狐狸尾巴。由此,小编会轻松描述怎样在Linux服务器中掩瞒PHP消息。

问题:每当Apache2网址服务器重返错误页时(如,404 页面无法找到,403
禁绝访谈页面),它会在页面尾巴部分显示网址服务器签字(如,Apache版本号和操作系统消息)。同有时候,当Apache2网址服务器为PHP页面服务时,它也会呈现PHP的版本音讯。笔者何以在Apache2网址服务器上关闭这几个网址服务器签字吗?

摘要:PHP配备默许允许服务器在
HTTP 响应头 X-Powered-By
中彰显安装在服务器上的PHP本子。
出于服务器安全原因(就算不是重大的要操心的胁制),提出您禁止使用或隐蔽此新闻,幸免那么些针对你的服务器的攻击者知道您是或不是运营了php奥门新浦京官方网站,。
PHP
配置暗中认可允许服务器在 HTTP 响应头X-Powered-By中展示安装在服务器上的
php 版本。
是因为服务器安全原因(固然不是首要的要操心的威慑),建议您禁止使用或隐蔽此新闻,制止这个针对你的服务器的攻击者知道你是否运维了
PHP。
一旦你服务器上安装的一定版本的 PHP
具备安全漏洞,而攻击者驾驭到这点,他们将更易于接受漏洞并经过脚本访问服务器。
在自己以前的篇章中,小编早已体现了什么样隐蔽 apache
版本号,你早就看到什么样不再显得
apache 的设置版本。但是假让你在你的 apache 服务器上运转PHP,你还索要蒙蔽 PHP 的装置版本,这我们将要本文中显示。
据此,在本文中,我们将解释怎样隐蔽或关闭服务器 HTTP 响应头中的 PHP
版本号。
此设置能够在加载的 PHP
配置文件中配置。如若你不亮堂此布置文件在服务器上之处,请运转以下命令找到它:
$ php-i|grep”Loaded Configuration File”
PHP 配置文件地方
—————-在CentOS/RHEL/Fedora上—————-
LoadedConfigurationFile=>/etc/php.ini
—————-在Debian/Ubuntu/LinuxMint上—————-
LoadedConfigurationFile=>/etc/php/7.0/cli/php.ini
在对 PHP 配置文件举行任何改换从前,笔者提出你首先备份您的 PHP
配置文件,如下所示:
—————-在CentOS/RHEL/Fedora上—————-
$sudocp/etc/php.ini/etc/php.ini.orig
—————-在Debian/Ubuntu/LinuxMint上—————-
$sudocp/etc/php/7.0/cli/php.ini/etc/php/7.0/cli/php.ini.orig
用你最心爱的编辑器,使用拔尖客户权限打开文件:
—————-在CentOS/RHEL/Fedora上—————-
$sudovi/etc/php.ini
—————-在Debian/Ubuntu/LinuxMint上—————-
$sudovi/etc/php/7.0/cli/php.ini
固化到第一词expose_php,并将值设置成Off:
expose_php=Off
保留并脱离文件。之后,重启 web 服务器:
—————-使用SystemD—————-
$sudosystemctlrestart httpd

$sudosystemctlrestart
apache2
—————-使用SysVInit—————-
$sudoservice httpd restart

$sudoservice apache2 restart
末尾,不过相像重要,使用上面包车型地铁命令检查服务器 HTTP 响应头是不是依旧显得你的
PHP 版本号。
$ lynx-head-mime_header
http://localhost
或者
$ lynx-head-mime_header
http://server-address
这里的标识含义是:
-head– 发送三个须要 mime 报头的 HEAD 央求。
-mime_header– 打字与印刷所提取文书档案的 MIME 标头及其源代码。
留心: 确认保证您系统中一度设置了指令行 web 浏览器 lynx。
越来越多PHP相关技术请找出千锋PHP,抓好际的投机,用良心做教育。
互连网+时期,时刻要维持学习,执手千锋PHP,Dream
It Possible。

奥门新浦京官方网站 1

透露网址服务器带有服务器/PHP版本音讯的签字会带给安全隐患,因为你基本中校您系统上的已知漏洞报告给了攻击者。由此,作为服务器加固的一个片段,生硬推荐你禁止使用全数网址服务器签名。

默认上expose_php私下认可是开的。关闭“expose_php”参数能够使php隐敝它的版本音信。

奥门新浦京官方网站 2

[root@centos66 ~]# vi /etc/php.ini

 

在您的php.ini, 定位到含有expose_php的那行把On设成Off:

剥夺Apache网址服务器签字

剥夺Apache网址服务器械名方可通过编写制定Apache配置文件来兑现。

在Debian,Ubunt或者Linux Mint上:

  1. $ sudo vi /etc/apache2/apache2.conf

在CentOS,Fedora,RHEL或者Arch
Linux上:

  1. $ sudo vi /etc/httpd/conf/httpd.conf

将上边两行加多到Apache配置文件后面部分。

ServerSignature Off

ServerTokens Prod

然后重启网址服务器以使修正生效:

  1. $ sudo service apache2 restart (Debian,UbuntuorLinuxMint)
  2. $ sudo service httpd restart (CentOS/RHEL 6)
  3. $ sudo systemctl restart httpd.service (Fedora,CentOS/RHEL 7,ArchLinux)

率先行‘ServerSignature
Off’使得Apache2网址服务器在享有错误页面上蒙蔽Apache版本音信。

奥门新浦京官方网站 3

但是,若未有第二行的‘ServerTokens
Prod’,Apache服务器将一直以来在HTTP回应尾部满含详细的服务器标识,那会泄漏Apache的版本号。

奥门新浦京官方网站 4

第二行‘ServerTokens
Prod
’所要做的是在HTTP响应头大校服务器标志压缩到细微。

故而,同时停放两行时,Apache将不会在页面中要么HTTP响应头中透漏版本音信。

奥门新浦京官方网站 5

 

expose_php = Off

隐藏PHP版本

此外七个地下的晋城遏抑是HTTP响应头中的PHP版本消息泄漏。私下认可情状下,Apache网址服务器通过HTTP响应头中的“X-Powered-By”字段富含有PHP版本音信。如若您想要在HTTP头部中遮掩PHP版本,请使用文本编辑器张开php.ini文件,找到“expose_php
= On”这一行,将它改为“expose_php = Off”即可。

奥门新浦京官方网站 6

在Debian,Ubunt或者Linux Mint上:

  1. $ sudo vi /etc/php5/apache2/php.ini

在CentOS,Fedora,RHEL或者Arch Linux上:

  1. $ sudo vi /etc/php.ini

expose_php = Off

最后,重启Apache2网址服务器来重新加载已更新的PHP配置文件。

当今,你不会再看看带有“X-Powered-By”字段的HTTP响应头了。

在此以前,web服务器头看上去好似这么:

————————————-作者是汾水陵

Ubuntu下Apache的Rewrite怎么样启用 
http://www.linuxidc.com/Linux/2010-10/29027.htm

Ubuntu 14.04中Apache 2.2晋升到2.4后的多少个要点
http://www.linuxidc.com/Linux/2015-01/111914.htm

Ubuntu 13.04 安装 LAMPVsftpdWebminphpMyAdmin 服务及安装
http://www.linuxidc.com/Linux/2013-06/86250.htm

CentOS 5.9下编译安装LAMP(Apache 2.2.44+MySQL 5.6.10+PHP 5.4.12State of Qatar
http://www.linuxidc.com/Linux/2013-03/80333p3.htm

RedHat
5.4下Web服务器架设之源码营造LAMP情形及使用PHPWind
http://www.linuxidc.com/Linux/2012-10/72484p2.htm

LAMP源码意况搭建WEB服务器Linux+Apache+MySQL+PHP
http://www.linuxidc.com/Linux/2013-05/84882.htm

[root@centos66 ~]# curl -I http://www.ehowstuff.com/

HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
X-Powered-By: PHP/5.3.3
X-Pingback: http://www.ehowstuff.com/xmlrpc.php
Date: Wed, 11 Feb 2015 14:10:43 GMT
X-Page-Speed: 1.9.32.2-4321
Cache-Control: max-age=0, no-cache

————————————–分割线

Apache
的详尽介绍
:请点这里
Apache
的下载地址
:请点这里

正文长久更新链接地址:http://www.linuxidc.com/Linux/2015-04/115622.htm

奥门新浦京官方网站 7

改过同样重视启 Web 服务后,php就不会在web服务头中显示版本了:

HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
X-Powered-By: PHP/5.3.3
X-Pingback: http://www.ehowstuff.com/xmlrpc.php
Date: Wed, 11 Feb 2015 14:10:43 GMT
X-Page-Speed: 1.9.32.2-4321
Cache-Control: max-age=0, no-cache

LCTT译注:除了 PHP 的版本之外,Web 服务器也会私下认可败露版本号。假诺选用Apache 服务器,请参照此作品关闭Apache
版本显得;要是接纳 Nginx
服务器,请在 http 段内投入server_tokens off;
配置。以上校订请记得重启相关服务。

发表评论

电子邮件地址不会被公开。 必填项已用*标注