Jak ukryć numer wersji PHP w nagłówku HTTP
- 1005
- 185
- Maurycy Napierała
Konfiguracja PHP, domyślnie pozwala serwerowi nagłówkowi odpowiedzi HTTP ”X-POWERED-PY„Aby wyświetlić wersję PHP zainstalowaną na serwerze.
Ze względów bezpieczeństwa serwera (choć nie jest to poważne zagrożenie, by się martwić), zaleca się wyłączenie lub ukrycie tych informacji przed atakującymi, którzy mogą kierować się na Twój serwer, chcąc wiedzieć, czy uruchamiasz PHP, czy nie.
Zakładając, że konkretna wersja PHP zainstalowana na serwerze ma otwory bezpieczeństwa, a po drugiej stronie atakujący to poznają, będzie im znacznie łatwiejsze do wykorzystania luk i uzyskanie dostępu do SINE za pomocą skryptów.
W moim poprzednim artykule pokazałem, jak ukryć numer wersji Apache, gdzie widziałeś, jak wyłączyć instalowaną wersję Apache. Ale jeśli uruchamiasz PHP na swoim serwerze WWW Apache, musisz również ukryć wersję zainstalowaną PHP, a to właśnie pokazujemy w tym artykule.
Dlatego w tym poście wyjaśnimy, jak ukryć lub wyłączyć pokazanie numeru wersji PHP w nagłówku odpowiedzi HTTP serwera.
To ustawienie można skonfigurować w załadowanym pliku konfiguracyjnym PHP. Jeśli nie znasz lokalizacji tego pliku konfiguracyjnego na serwerze, uruchom poniższe polecenie, aby je znaleźć:
$ php -i | GREP „Załadowany plik konfiguracyjny”Lokalizacja pliku konfiguracji PHP
---------------- Na Centos/Rhel/Fedora ---------------- Załadowany plik konfiguracyjny => /etc /php.ini ---------------- Na Mint Debian/Ubuntu/Linux ---------------- Załadowany plik konfiguracyjny =>/etc/php/7.0/CLI/PHP.ini
Przed wprowadzeniem jakichkolwiek zmian w pliku konfiguracyjnym PHP proponuję najpierw wykonać kopię zapasową pliku konfiguracyjnego PHP, tak jak:
---------------- Na Centos/Rhel/Fedora ---------------- $ sudo cp /etc /php.ini /etc /php.ini.Orig ---------------- Na Mint Debian/Ubuntu/Linux ---------------- $ sudo cp/etc/php/7.0/CLI/PHP.INI/etc/php/7.0/CLI/PHP.ini.Orig
Następnie otwórz plik za pomocą ulubionego edytora z uprawnieniami super użytkownika, takimi jak:
---------------- Na Centos/Rhel/Fedora ---------------- $ sudo vi /etc /php.ini ---------------- Na Mint Debian/Ubuntu/Linux ---------------- $ sudo vi/etc/php/7.0/CLI/PHP.ini
Znajdź słowo kluczowe expose_php
i ustaw swoją wartość Wyłączony:
expose_php = off
Zapisz plik i wyjdź. Następnie uruchom ponownie serwer WWW w następujący sposób:
---------------- Na systemd ---------------- $ sudo systemctl restart httpd $ sudo systemctl restart apache2 ---------------- Na Sysvinit ---------------- $ sudo service httpd restart $ sudo service apache2 restart
Wreszcie sprawdź, czy nagłówek odpowiedzi HTTP serwer.
$ lynx -head -mime_header http: // localhost lub $ lynx -head -mime_header http: // server-address
gdzie flagi:
-głowa
- Wysyła prośbę o głowę dla nagłówków MIME.-mime_header
- Wydrukuje nagłówek mimu pobieranego dokumentu wraz z jego źródłem.
Notatka: Upewnij się, że masz w systemie Lynx - Web Command -Line Browser.
Otóż to! W tym artykule wyjaśniliśmy, jak ukryć numer wersji PHP w nagłówku odpowiedzi HTTP serwera, aby zabezpieczyć serwer WWW przed możliwymi atakami. Możesz dodać opinię do tego postu lub zadać dowolne powiązane pytanie za pośrednictwem poniższego formularza komentarza.
- « Wyłącz listę katalogu internetowego Apache za pomocą za pomocą .plik Htaccess
- Jak manipulować nazwami plików o przestrzeni i znakach specjalnych w Linux »