HTTP头隐藏PHP版本号实现过程解析
PHP配置默认允许服务器在HTTP响应头X-Powered-By中显示安装在服务器上的PHP版本。出于服务器安全原因(虽然不是主要的要担心的威胁),建议你禁用或隐藏此信息,避免那些针对你的服务器的攻击者知道你是否运行了PHP。在本文中,我们将解释如何隐藏或关闭服务器HTTP响应头中的PHP版本号。
PHP配置默认允许服务器在HTTP响应头X-Powered-By中显示安装在服务器上的PHP版本。
出于服务器安全原因(虽然不是主要的要担心的威胁),建议你禁用或隐藏此信息,避免那些针对你的服务器的攻击者知道你是否运行了PHP。
假设你服务器上安装的特定版本的PHP具有安全漏洞,而攻击者了解到这一点,他们将更容易利用漏洞并通过脚本访问服务器。
在我以前的文章中,我已经展示了如何隐藏apache版本号,你已经看到如何不再显示apache的安装版本。但是如果你在你的apache服务器上运行PHP,你还需要隐藏PHP的安装版本,这我们将在本文中展示。
因此,在本文中,我们将解释如何隐藏或关闭服务器HTTP响应头中的PHP版本号。
此设置可以在加载的PHP配置文件中配置。如果你不知道此配置文件在服务器上的位置,请运行以下命令找到它:
$php-i|grep"LoadedConfigurationFile"
PHP配置文件位置
----------------在CentOS/RHEL/Fedora上----------------
LoadedConfigurationFile=>/etc/php.ini
----------------在Debian/Ubuntu/LinuxMint上----------------
LoadedConfigurationFile=>/etc/php/7.0/cli/php.ini
在对PHP配置文件进行任何更改之前,我建议您首先备份您的PHP配置文件,如下所示:
----------------在CentOS/RHEL/Fedora上----------------
$sudocp/etc/php.ini/etc/php.ini.orig
----------------在Debian/Ubuntu/LinuxMint上----------------
$sudocp/etc/php/7.0/cli/php.ini/etc/php/7.0/cli/php.ini.orig
用你最喜欢的编辑器,使用超级用户权限打开文件:
----------------在CentOS/RHEL/Fedora上----------------
$sudovi/etc/php.ini
----------------在Debian/Ubuntu/LinuxMint上----------------
$sudovi/etc/php/7.0/cli/php.ini
定位到关键词expose_php,并将值设置成Off:
expose_php=Off
保存并退出文件。之后,重启web服务器:
----------------使用SystemD----------------
$sudosystemctlrestarthttpd或
$sudosystemctlrestartapache2
----------------使用SysVInit----------------
$sudoservicehttpdrestart或
$sudoserviceapache2restart
最后,不过同样重要,使用下面的命令检查服务器HTTP响应头是否仍然显示你的PHP版本号。
lynx-head-mime_headerhttp://localhost
或者
$lynx-head-mime_headerhttp://server-address
这里的标志含义是:
-head–发送一个请求mime报头的HEAD请求。
-mime_header–打印所提取文档的MIME标头及其源代码。
注意:确保你系统中已经安装了命令行web浏览器lynx。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。