Hvernig á að fela PHP útgáfunúmer í HTTP haus

PHP stillingarnar leyfa sjálfgefið HTTP svarhaus netþjónsins „X-Powered-By“ að sýna PHP útgáfuna sem er uppsett á netþjóni.

Af öryggisástæðum fyrir netþjóna (þó ekki stór ógn sem þarf að hafa áhyggjur af), er mælt með því að þú slökkva á eða fela þessar upplýsingar fyrir árásarmönnum sem gætu verið að miða á netþjóninn þinn með því að vilja vita hvort þú keyrir PHP eða ekki.

Miðað við að tiltekin útgáfa af PHP sem er uppsett á netþjóninum þínum hafi öryggisgöt og á hinni hliðinni fá árásarmenn að vita þetta, þá verður það miklu auðveldara fyrir þá að nýta sér veikleika og fá aðgang að netþjóninum í gegnum forskriftir.

Í fyrri grein minni hef ég sýnt hvernig á að fela apache útgáfunúmer, þar sem þú hefur séð hvernig á að slökkva á apache uppsettri útgáfu. En ef þú ert að keyra PHP á apache vefþjóninum þínum þarftu að fela PHP uppsetta útgáfu líka, og þetta er það sem við munum sýna í þessari grein.

Þess vegna, í þessari færslu, munum við útskýra hvernig á að fela eða slökkva á því að sýna PHP útgáfunúmer í HTTP svörunarhaus þjónsins.

Þessa stillingu er hægt að stilla í hlaðnu PHP stillingarskránni. Ef þú veist ekki staðsetningu þessarar stillingarskrár á þjóninum þínum skaltu keyra skipunina hér að neðan til að finna hana:

$ php -i | grep "Loaded Configuration File"

---------------- On CentOS/RHEL/Fedora ---------------- 
Loaded Configuration File => /etc/php.ini

---------------- On Debian/Ubuntu/Linux Mint ---------------- 
Loaded Configuration File => /etc/php/7.0/cli/php.ini

Áður en þú gerir einhverjar breytingar á PHP stillingarskrá, legg ég til að þú gerir fyrst öryggisafrit af PHP stillingarskránni þinni eins og svo:

---------------- On CentOS/RHEL/Fedora ---------------- 
$ sudo cp /etc/php.ini /etc/php.ini.orig

---------------- On Debian/Ubuntu/Linux Mint ---------------- 
$ sudo cp /etc/php/7.0/cli/php.ini  /etc/php/7.0/cli/php.ini.orig

Opnaðu síðan skrána með uppáhalds ritlinum þínum með ofurnotendaréttindum eins og svo:

---------------- On CentOS/RHEL/Fedora ---------------- 
$ sudo vi /etc/php.ini

---------------- On Debian/Ubuntu/Linux Mint ---------------- 
$ sudo vi /etc/php/7.0/cli/php.ini

Finndu leitarorðið expose_php og stilltu gildi þess á Off:

expose_php = off

Vistaðu skrána og hættu. Síðan skaltu endurræsa vefþjóninn sem hér segir:

---------------- On SystemD ---------------- 
$ sudo systemctl restart httpd
$ sudo systemctl restart apache2 

---------------- On SysVInit ---------------- 
$ sudo service httpd restart
$ sudo service apache2 restart

Síðast en ekki síst, athugaðu hvort HTTP svarhaus þjónsins sé enn að sýna PHP útgáfunúmerið þitt með því að nota skipunina hér að neðan.

$ lynx -head -mime_header http://localhost 
OR
$ lynx -head -mime_header http://server-address

þar sem fánarnir:

  1. -head – sendir HEAD beiðni fyrir mime hausana.
  2. -mime_header – prentar MIME-haus sóttsskjals ásamt uppruna þess.

Athugið: Gakktu úr skugga um að þú hafir lynx – skipanalínuvafra uppsettan á vélinni þinni.

Það er það! Í þessari grein útskýrðum við hvernig á að fela PHP útgáfunúmer í HTTP svarhaus þjóns til að tryggja vefþjón fyrir hugsanlegum árásum. Þú getur bætt skoðun við þessa færslu eða kannski spurt hvers kyns tengdrar spurningar í gegnum athugasemdareyðublaðið hér að neðan.