PHP 配置默认允许服务器在 HTTP 响应头 X-Powered-By
中显示安装在服务器上的 PHP 版本。
出于服务器安全原因(虽然不是主要的要担心的威胁),建议你禁用或隐藏此信息,避免那些针对你的服务器的攻击者知道你是否运行了 PHP。
假设你服务器上安装的特定版本的 PHP 具有安全漏洞,而攻击者了解到这一点,他们将更容易利用漏洞并通过脚本访问服务器。
在我以前的文章中,我已经展示了如何隐藏 apache 版本号,你已经看到如何不再显示 apache 的安装版本。但是如果你在你的 apache 服务器上运行 PHP,你还需要隐藏 PHP 的安装版本,这我们将在本文中展示。
因此,在本文中,我们将解释如何隐藏或关闭服务器 HTTP 响应头中的 PHP 版本号。
此设置可以在加载的 PHP 配置文件中配置。如果你不知道此配置文件在服务器上的位置,请运行以下命令找到它:
php -i | grep "Loaded Configuration File"
PHP 配置文件位置
---------------- 在 CentOS/RHEL/Fedora 上----------------
Loaded Configuration File => /etc/php.ini
---------------- 在 Debian/Ubuntu/Linux Mint 上----------------
Loaded Configuration File => /etc/php/7.0/cli/php.ini
在对 PHP 配置文件进行任何更改之前,我建议您首先备份您的 PHP 配置文件,如下所示:
----------------在 CentOS/RHEL/Fedora 上----------------
$ sudo cp /etc/php.ini /etc/php.ini.orig
---------------- 在 Debian/Ubuntu/Linux Mint 上----------------
$ sudo cp /etc/php/7.0/cli/php.ini /etc/php/7.0/cli/php.ini.orig
用你最喜欢的编辑器,使用超级用户权限打开文件:
---------------- 在 CentOS/RHEL/Fedora 上----------------
$ sudo vi /etc/php.ini
----------------在 Debian/Ubuntu/Linux Mint 上----------------
$ sudo vi /etc/php/7.0/cli/php.ini
定位到关键词 expose_php
,并将值设置成 Off
:
expose_php = Off
保存并退出文件。之后,重启 web 服务器:
---------------- 使用 SystemD ----------------
$ sudo systemctl restart httpd
或
$ sudo systemctl restart apache2
---------------- 使用 SysVInit ----------------
$ sudo service httpd restart
或
$ sudo service apache2 restart
最后,不过同样重要,使用下面的命令检查服务器 HTTP 响应头是否仍然显示你的 PHP 版本号。
$ lynx -head -mime_header http://localhost
或者
$ lynx -head -mime_header http://server-address
这里的标志含义是:
-head
– 发送一个请求 mime 报头的 HEAD 请求。-mime_header
– 打印所提取文档的 MIME 标头及其源代码。
注意: 确保你系统中已经安装了命令行 web 浏览器 lynx。
本文参考链接:https://linux.cn/article-8176-1.html
下面是自己的一个案例:
root@iZwz99xibtof6c8lod50rhZ:~#sudo vim /etc/php5/apache2/php.ini
root@iZwz99xibtof6c8lod50rhZ:~# sudo systemctl restart apache2
sudo: systemctl: command not found
root@iZwz99xibtof6c8lod50rhZ:~# sudo service restart apache2
restart: unrecognized service
root@iZwz99xibtof6c8lod50rhZ:~# sudo service apache2 restart
* Restarting web server apache2
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1. Set the 'ServerName' directive globally to suppress this message
[ OK ]
root@iZwz99xibtof6c8lod50rhZ:~# lynx -head -mime_header http://localhost
The program 'lynx' is currently not installed. You can install it by typing:
apt-get install lynx-cur
root@iZwz99xibtof6c8lod50rhZ:~# apt-get install lynx-cur
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages were automatically installed and are no longer required:
amd64-microcode linux-image-extra-4.4.0-31-generic
Use 'apt-get autoremove' to remove them.
The following NEW packages will be installed:
lynx-cur
0 upgraded, 1 newly installed, 0 to remove and 50 not upgraded.
Need to get 956 kB of archives.
After this operation, 2,527 kB of additional disk space will be used.
Get:1 http://mirrors.cloud.aliyuncs.com/ubuntu/ trusty/main lynx-cur amd64 2.8.8pre4-1 [956 kB]
Fetched 956 kB in 0s (4,900 kB/s)
Selecting previously unselected package lynx-cur.
(Reading database ... 134006 files and directories currently installed.)
Preparing to unpack .../lynx-cur_2.8.8pre4-1_amd64.deb ...
Unpacking lynx-cur (2.8.8pre4-1) ...
Processing triggers for mime-support (3.54ubuntu1.1) ...
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...
Setting up lynx-cur (2.8.8pre4-1) ...
update-alternatives: using /usr/bin/lynx to provide /usr/bin/www-browser (www-browser) in auto mode
root@iZwz99xibtof6c8lod50rhZ:~# lynx -head -mime_header http://localhost
HTTP/1.0 200 OK
Date: Tue, 25 Jun 2019 15:04:48 GMT
Server: Apache/2.4.7 (Ubuntu)
Link: <http://120.79.93.25/index.php?rest_route=/>; rel="https://api.w.org/"
Connection: close
Content-Type: text/html; charset=UTF-8
root@iZwz99xibtof6c8lod50rhZ:~# lynx -head -mime_header http://120.79.93.25
HTTP/1.0 200 OK
Date: Tue, 25 Jun 2019 15:06:11 GMT
Server: Apache/2.4.7 (Ubuntu)
Link: <http://120.79.93.25/index.php?rest_route=/>; rel="https://api.w.org/"
Connection: close
Content-Type: text/html; charset=UTF-8
root@iZwz99xibtof6c8lod50rhZ:~#