Kā paslēpt PHP versijas numuru HTTP galvenē

PHP konfigurācija pēc noklusējuma ļauj servera HTTP atbildes galvenei ‘X-Powered-By’ parādīt serverī instalēto PHP versiju.

Servera drošības apsvērumu dēļ (lai arī tas nav nopietns drauds, par ko jāuztraucas) ieteicams atspējot vai paslēpt šo informāciju no uzbrucējiem, kuri, iespējams, mērķē uz jūsu serveri, vēloties uzzināt, vai jūs izmantojat PHP vai nē.

Pieņemot, ka konkrētai PHP versijai, kas instalēta jūsu serverī, ir drošības caurumi, un, no otras puses, uzbrucēji to uzzina, viņiem būs daudz vieglāk izmantot ievainojamības un ar skriptu palīdzību piekļūt lietotājiem.

Savā iepriekšējā rakstā es parādīju, kā paslēpt apache versijas numuru, kur jūs redzējāt, kā izslēgt apache instalēto versiju. Bet, ja jūs izmantojat PHP apache tīmekļa serverī, jums jāslēpj arī PHP instalētā versija, un tas ir tas, ko mēs parādīsim šajā rakstā.

Tāpēc šajā rakstā mēs paskaidrosim, kā paslēpt vai izslēgt PHP versijas numura rādīšanu servera HTTP atbildes galvenē.

Šo iestatījumu var konfigurēt ielādētajā PHP konfigurācijas failā. Ja nezināt šī konfigurācijas faila atrašanās vietu serverī, palaidiet zemāk esošo komandu, lai to atrastu:

$ php -i | grep "Loaded Configuration File"

---------------- On CentOS/RHEL/Fedora ---------------- 
Loaded Configuration File => /etc/php.ini

---------------- On Debian/Ubuntu/Linux Mint ---------------- 
Loaded Configuration File => /etc/php/7.0/cli/php.ini

Pirms jebkādu izmaiņu veikšanas PHP konfigurācijas failā, iesaku vispirms izveidot PHP konfigurācijas faila dublējumu šādi:

---------------- On CentOS/RHEL/Fedora ---------------- 
$ sudo cp /etc/php.ini /etc/php.ini.orig

---------------- On Debian/Ubuntu/Linux Mint ---------------- 
$ sudo cp /etc/php/7.0/cli/php.ini  /etc/php/7.0/cli/php.ini.orig

Pēc tam atveriet failu, izmantojot savu iecienītāko redaktoru ar šādām īpašām lietotāja tiesībām:

---------------- On CentOS/RHEL/Fedora ---------------- 
$ sudo vi /etc/php.ini

---------------- On Debian/Ubuntu/Linux Mint ---------------- 
$ sudo vi /etc/php/7.0/cli/php.ini

Atrodiet atslēgvārdu expose_php un iestatiet tā vērtību uz Off.

expose_php = off

Saglabājiet failu un izejiet. Pēc tam restartējiet tīmekļa serveri šādi:

---------------- On SystemD ---------------- 
$ sudo systemctl restart httpd
$ sudo systemctl restart apache2 

---------------- On SysVInit ---------------- 
$ sudo service httpd restart
$ sudo service apache2 restart

Visbeidzot, pārbaudiet, vai servera HTTP atbildes galvenē joprojām tiek parādīts jūsu PHP versijas numurs, izmantojot zemāk esošo komandu.

$ lynx -head -mime_header http://localhost 
OR
$ lynx -head -mime_header http://server-address

kur karogi:

  1. -head - nosūta HEAD pieprasījumu par mīmikas galvenēm.
  2. -mime_header - izdrukā atnestā dokumenta MIME galveni kopā ar tā avotu.

Piezīme. Pārliecinieties, vai jūsu sistēmā ir instalēta lūšu komandrindas tīmekļa pārlūkprogramma.

Tieši tā! Šajā rakstā mēs paskaidrojām, kā paslēpt PHP versijas numuru servera HTTP atbildes galvenē, lai aizsargātu tīmekļa serveri no iespējamiem uzbrukumiem. Jūs varat pievienot atzinumu šai ziņai vai, iespējams, uzdot jebkuru saistītu jautājumu, izmantojot zemāk esošo komentāru veidlapu.