774
如何在 HTTP 頭中隱藏 PHP 版本號
PHP 配置默認允許服務器在 HTTP 響應頭 X-Powered-By 中顯示安裝在服務器上的 PHP 版本。
出於服務器安全原因(雖然不是主要的要擔心的威脅),建議你禁用或隱藏此信息,避免那些針對你的服務器的攻擊者知道你是否運行了 PHP。
假設你服務器上安裝的特定版本的 PHP 具有安全漏洞,而攻擊者了解到這一點,他們將更容易利用漏洞並通過腳本訪問服務器。
在我以前的文章中,我已經展示了如何隱藏 apache 版本號,你已經看到如何不再顯示 apache 的安裝版本。但是如果你在你的 apache 服務器上運行 PHP,你還需要隱藏 PHP 的安裝版本,這我們將在本文中展示。
因此,在本文中,我們將解釋如何隱藏或關閉服務器 HTTP 響應頭中的 PHP 版本號。
此設置可以在加載的 PHP 配置文件中配置。如果你不知道此配置文件在服務器上的位置,請運行以下命令找到它:
$ php -i | grep "Loaded Configuration File"
PHP 配置文件位置
---------------- 在 CentOS/RHEL/Fedora 上----------------Loaded Configuration File => /etc/php.ini---------------- 在 Debian/Ubuntu/Linux Mint 上----------------Loaded Configuration File => /etc/php/7.0/cli/php.ini
在對 PHP 配置文件進行任何更改之前,我建議您首先備份您的 PHP 配置文件,如下所示:
----------------在 CentOS/RHEL/Fedora 上----------------$ sudo cp /etc/php.ini /etc/php.ini.orig---------------- 在 Debian/Ubuntu/Linux Mint 上----------------$ sudo cp /etc/php/7.0/cli/php.ini /etc/php/7.0/cli/php.ini.orig
用你最喜歡的編輯器,使用超級用戶權限打開文件:
---------------- 在 CentOS/RHEL/Fedora 上----------------$ sudo vi /etc/php.ini----------------在 Debian/Ubuntu/Linux Mint 上----------------$ sudo vi /etc/php/7.0/cli/php.ini
定位到關鍵詞 expose_php,並將值設置成 Off:
expose_php = Off
保存並退出文件。之後,重啟 web 服務器:
---------------- 使用 SystemD ----------------$ sudo systemctl restart httpd
或$ sudo systemctl restart apache2---------------- 使用 SysVInit ----------------$ sudo service httpd restart
或$ sudo service apache2 restart
最後,不過同樣重要,使用下麵的命令檢查服務器 HTTP 響應頭是否仍然顯示你的 PHP 版本號。
$ lynx -head -mime_header http://localhost或者$ lynx -head -mime_header http://server-address
這裏的標誌含義是:
-
-head– 發送一個請求 mime 報頭的 HEAD 請求。 -
-mime_header– 打印所提取文檔的 MIME 標頭及其源代碼。
注意: 確保你係統中已經安裝了命令行 web 瀏覽器 lynx。
就是這樣了!在本文中,我們解釋了如何隱藏服務器 HTTP 響應頭中的 PHP 版本號以保護 web 服務器免受可能的攻擊。
原文發布時間為:2017-02-05
本文來自雲棲社區合作夥伴“Linux中國”
最後更新:2017-05-26 09:33:04