装逼爱好者

您正在访问位于非洲的夏威夷海岸附近的喜马拉雅山脉的富士山上的索马里域名网站!

0

隐藏apache的版本信息

apache的http header和错误页面或多或少的会透露一些软件和系统的版本信息,对于生产服务来说这些东西是毫无用处的并且还有可能会被人利用分析.

#curl -I 127.0.0.1
HTTP/1.1 200 OK
Date: Sun, 13 Oct 2013 13:03:18 GMT
Server: Apache/2.2.22 (Unix) mod_ssl/2.2.22 OpenSSL/1.0.0-fips DAV/2
Last-Modified: Wed, 14 Nov 2012 07:16:01 GMT
X-Powered-By: PHP/5.3.24
ETag: "32006-10-4ce6f4e86ee40"
Accept-Ranges: bytes
Content-Length: 16
Content-Type: text/html

通过修改apache的配置可以不显示它们

cat >>/etc/httpd/conf/httpd.conf<<EOF
ServerTokens ProductOnly
ServerSignature Off
EOF

ServerTokens缺省值OS名称,ServerSignature缺省值是apache的版本号。
解决了apache的问题顺道干掉php版本的输出显示

sed -i 's#expose_php = On#expose_php = Off#' /etc/php.ini

expose_php默认值是On将其关闭http header就不会输出php版本了。
调整完参数重启httpd就生效了。

调整参数生效后的http header信息

curl -I 127.0.0.1
HTTP/1.1 200 OK
Date: Sun, 13 Oct 2013 13:28:25 GMT
Server: Apache
Last-Modified: Wed, 14 Nov 2012 07:16:01 GMT
ETag: "32006-10-4ce6f4e86ee40"
Accept-Ranges: bytes
Content-Length: 16
Content-Type: text/html

PS:以上apache和php的配置文件均为常规配置路径,如果您是自定义安装请注意更换路径。

原文地址 : http://www.zbuse.com/archives/2013/10/13/528.html
本站遵循 : 知识共享署名-非商业性使用-相同方式共享 3.0 版权协议
版权声明 : 原创文章转载时,请务必以超链接形式标明 文章原始出处
作者:装逼爱好者 | 分类:管理系统 | 标签: apache, PHP

发表新评论 »