Hvernig á að fela PHP útgáfunúmer í HTTP haus
PHP stillingarnar leyfa sjálfgefið HTTP svarhaus netþjónsins „X-Powered-By“ að sýna PHP útgáfuna sem er uppsett á netþjóni.
Af öryggisástæðum fyrir netþjóna (þó ekki stór ógn sem þarf að hafa áhyggjur af), er mælt með því að þú slökkva á eða fela þessar upplýsingar fyrir árásarmönnum sem gætu verið að miða á netþjóninn þinn með því að vilja vita hvort þú keyrir PHP eða ekki.
Miðað við að tiltekin útgáfa af PHP sem er uppsett á netþjóninum þínum hafi öryggisgöt og á hinni hliðinni fá árásarmenn að vita þetta, þá verður það miklu auðveldara fyrir þá að nýta sér veikleika og fá aðgang að netþjóninum í gegnum forskriftir.
Í fyrri grein minni hef ég sýnt hvernig á að fela apache útgáfunúmer, þar sem þú hefur séð hvernig á að slökkva á apache uppsettri útgáfu. En ef þú ert að keyra PHP á apache vefþjóninum þínum þarftu að fela PHP uppsetta útgáfu líka, og þetta er það sem við munum sýna í þessari grein.
Þess vegna, í þessari færslu, munum við útskýra hvernig á að fela eða slökkva á því að sýna PHP útgáfunúmer í HTTP svörunarhaus þjónsins.
Þessa stillingu er hægt að stilla í hlaðnu PHP stillingarskránni. Ef þú veist ekki staðsetningu þessarar stillingarskrár á þjóninum þínum skaltu keyra skipunina hér að neðan til að finna hana:
$ php -i | grep "Loaded Configuration File"
---------------- On CentOS/RHEL/Fedora ---------------- Loaded Configuration File => /etc/php.ini ---------------- On Debian/Ubuntu/Linux Mint ---------------- Loaded Configuration File => /etc/php/7.0/cli/php.ini
Áður en þú gerir einhverjar breytingar á PHP stillingarskrá, legg ég til að þú gerir fyrst öryggisafrit af PHP stillingarskránni þinni eins og svo:
---------------- On CentOS/RHEL/Fedora ---------------- $ sudo cp /etc/php.ini /etc/php.ini.orig ---------------- On Debian/Ubuntu/Linux Mint ---------------- $ sudo cp /etc/php/7.0/cli/php.ini /etc/php/7.0/cli/php.ini.orig
Opnaðu síðan skrána með uppáhalds ritlinum þínum með ofurnotendaréttindum eins og svo:
---------------- On CentOS/RHEL/Fedora ---------------- $ sudo vi /etc/php.ini ---------------- On Debian/Ubuntu/Linux Mint ---------------- $ sudo vi /etc/php/7.0/cli/php.ini
Finndu leitarorðið expose_php
og stilltu gildi þess á Off:
expose_php = off
Vistaðu skrána og hættu. Síðan skaltu endurræsa vefþjóninn sem hér segir:
---------------- On SystemD ---------------- $ sudo systemctl restart httpd $ sudo systemctl restart apache2 ---------------- On SysVInit ---------------- $ sudo service httpd restart $ sudo service apache2 restart
Síðast en ekki síst, athugaðu hvort HTTP svarhaus þjónsins sé enn að sýna PHP útgáfunúmerið þitt með því að nota skipunina hér að neðan.
$ lynx -head -mime_header http://localhost OR $ lynx -head -mime_header http://server-address
þar sem fánarnir:
-head
– sendir HEAD beiðni fyrir mime hausana.-mime_header
– prentar MIME-haus sóttsskjals ásamt uppruna þess.
Athugið: Gakktu úr skugga um að þú hafir lynx – skipanalínuvafra uppsettan á vélinni þinni.
Það er það! Í þessari grein útskýrðum við hvernig á að fela PHP útgáfunúmer í HTTP svarhaus þjóns til að tryggja vefþjón fyrir hugsanlegum árásum. Þú getur bætt skoðun við þessa færslu eða kannski spurt hvers kyns tengdrar spurningar í gegnum athugasemdareyðublaðið hér að neðan.