透露网站服务器带有服务器/php版本信息的签名会带来安全隐患,因为你基本上将你系统上的已知漏洞告诉给了攻击者。因此,作为服务器加固的一个部分,强烈推荐你禁用所有网站服务器签名。
禁用apache网站服务器签名
禁用apache网站服务器签名可以通过编辑apache配置文件来实现。
在debian,ubunt或者linux mint上:
在centos,fedora,rhel或者arch linux上:
将下面两行添加到apache配置文件底部。
servertokens prod
然后重启网站服务器以使修改生效:
第一行‘serversignature off使得apache2网站服务器在所有错误页面上隐藏apache版本信息。
然而,若没有第二行的‘servertokens prod,apache服务器将仍然在http回应头部包含详细的服务器标记,这会泄漏apache的版本号。
第二行‘servertokens prod所要做的是在http响应头中将服务器标记压缩到最小。
因此,同时放置两行时,apache将不会在页面中或者http响应头中泄漏版本信息。
隐藏php版本
另外一个潜在的安全威胁是http响应头中的php版本信息泄漏。默认情况下,apache网站服务器通过http响应头中的“x-powered-by”字段包含有php版本信息。如果你想要在http头部中隐藏php版本,请使用文本编辑器打开php.ini文件,找到“expose_php = on”这一行,将它改为“expose_php = off”即可。
在debian,ubunt或者linux mint上:
在centos,fedora,rhel或者arch linux上:
最后,重启apache2网站服务器来重新加载已更新的php配置文件。
现在,你不会再看到带有“x-powered-by”字段的http响应头了。
声明: 猿站网有关资源均来自网络搜集与网友提供,任何涉及商业盈利目的的均不得使用,否则产生的一切后果将由您自己承担! 本平台资源仅供个人学习交流、测试使用 所有内容请在下载后24小时内删除,制止非法恶意传播,不对任何下载或转载者造成的危害负任何法律责任!也请大家支持、购置正版! 。本站一律禁止以任何方式发布或转载任何违法的相关信息访客发现请向站长举报,会员发帖仅代表会员个人观点,并不代表本站赞同其观点和对其真实性负责。本网站的资源部分来源于网络,如有侵权烦请发送邮件至:2697268773@qq.com进行处理。