Nginx または Apache と PHP、nginxapache のバージョン番号を非表示にする方法

Nginx または Apache と PHP、nginxapache のバージョン番号を隠す方法

ハッカーがサーバーに侵入するとき、最初に「侵入」しますが、ここでの「侵入」はサーバー内で実行されているサービスのバージョン番号などの詳細を把握することを指します。ハッカーは、対応するサービスのバージョン番号を知ると、そのサービスの脆弱性を見つけて侵入し、攻撃することができます。不要な問題を避けるために、これらのバージョン番号を隠す必要があります。

試してみましょう

insoz:~ insoz$ curl -I http://127.0.0.1/phpinfo.php
HTTP/1.1 200 OK
Server: nginx/1.5.0
Date: Thu, 18 Jun 2015 02:39:32 GMT
Content-Type: text/html
Connection: keep-alive
Vary: Accept-Encoding
X-Powered-By: PHP/5.3.1

サーバーの nginx と php のバージョンが公開されていることがわかります。隠しメソッドを見てみましょう。

まず、nginx でバージョン番号を非表示にする方法を見てみましょう:
nginx 構成ファイル nginx.conf に、次のコードを追加します

server_tokens off;

Apache でバージョン番号を非表示にする方法:
Apache 設定ファイル httpd.conf に、次のコードを追加します

ServerTokens Prod
ServerSignature Off

php でバージョン番号を非表示にする方法を見てみましょう:
PHP 構成ファイル php.ini に、次のコードを追加します

expose_php = Off

変更が完了したら、サービスを再起動して、もう一度テストしてみましょう:

insoz:~ insoz$ curl -I http://127.0.0.1//phpinfo.php
HTTP/1.1 200 OK
Server: nginx
Date: Thu, 18 Jun 2015 02:41:47 GMT
Content-Type: text/html
Connection: keep-alive
Vary: Accept-Encoding

興味があるかもしれない記事:

• Nginx、Apache、Lighttpd によるディレクトリ実行の php 構成例
• Linux での nginx apache mysql php コンパイル パラメーターの表示
• nginx/apache/php で http ヘッダーのバージョン情報を非表示にする方法
• PHP、Nginx、および Apache の iframe によって Web ページが参照されないようにする方法