牛牛逼逼叉叉
菜单

在Apache网站服务器上关闭服务器签名

2014年09月29日,分类《Linux》,作者:
博客捐助

透露网站服务器带有服务器/PHP版本信息的签名会带来安全隐患,因为你基本上将你系统上的已知漏洞告诉给了攻击者。因此,作为服务器加固的一个部分,强烈推荐你禁用所有网站服务器签名。

68747470733a2f2f6661726d342e737461746963666c69636b722e636f6d2f333839372f31343930323937303534355f633364343036333232665f6f2e706e67

禁用Apache网站服务器签名

禁用Apache网站服务器签名可以通过编辑Apache配置文件来实现。

在Debian,Ubunt或者Linux Mint上:

$ sudo vi /etc/apache2/apache2.conf

在CentOS,Fedora,RHEL或者Arch Linux上:

$ sudo vi /etc/httpd/conf/httpd.conf

将下面两行添加到Apache配置文件底部。

ServerSignature Off

ServerTokens Prod

然后重启网站服务器以使修改生效:

$ sudo service apache2 restart (Debian, Ubuntu or Linux Mint)
$ sudo service httpd restart (CentOS/RHEL 6)
$ sudo systemctl restart httpd.service (Fedora, CentOS/RHEL 7, Arch Linux)

第一行‘ServerSignature Off’使得Apache2网站服务器在所有错误页面上隐藏Apache版本信息。

68747470733a2f2f6661726d362e737461746963666c69636b722e636f6d2f353535362f31343837393938323031365f376337623862626633645f6f2e706e67

然而,若没有第二行的‘ServerTokens Prod’,Apache服务器将仍然在HTTP回应头部包含详细的服务器标记,这会泄漏Apache的版本号。

68747470733a2f2f6661726d342e737461746963666c69636b722e636f6d2f333838392f31343930323937303533355f653834656332333039305f7a2e6a7067

第二行‘ServerTokens Prod’所要做的是在HTTP响应头中将服务器标记压缩到最小。

因此,同时放置两行时,Apache将不会在页面中或者HTTP响应头中泄漏版本信息。

68747470733a2f2f6661726d342e737461746963666c69636b722e636f6d2f333930322f31343930323937303530355f643739323235663235645f7a2e6a7067

隐藏PHP版本

另外一个潜在的安全威胁是HTTP响应头中的PHP版本信息泄漏。默认情况下,Apache网站服务器通过HTTP响应头中的“X-Powered-By”字段包含有PHP版本信息。如果你想要在HTTP头部中隐藏PHP版本,请使用文本编辑器打开php.ini文件,找到“expose_php = On”这一行,将它改为“expose_php = Off”即可。

68747470733a2f2f6661726d342e737461746963666c69636b722e636f6d2f333835332f31343839393931373938315f616165663731656230612e6a7067

在Debian,Ubunt或者Linux Mint上:

$ sudo vi /etc/php5/apache2/php.ini

在CentOS,Fedora,RHEL或者Arch Linux上:

$ sudo vi /etc/php.ini

expose_php = Off

最后,重启Apache2网站服务器来重新加载已更新的PHP配置文件。

现在,你不会再看到带有“X-Powered-By”字段的HTTP响应头了。



发表评论

电子邮件地址不会被公开。 必填项已用*标注

【上一篇】

漂亮的启动器工具 Duck Launcher 0.64.5

【下一篇】

微信登录正式开启公测(open.weixin.qq.com)