LinuxサーバーでPHPのバージョンを非表示にする方法

通常、デフォルト設定でインストールされたWebサーバーのほとんどは情報漏洩を起こしており、その1つがPHPです。 PHP は、現在最も人気のあるサーバーサイド HTML 埋め込み言語の 1 つです。このような困難な時期に、サーバー上の脆弱性を見つけようとする攻撃者がたくさんいます。そこで、LinuxサーバーでPHP情報を非表示にする方法を簡単に説明します。

Expose_php はデフォルトで有効になっています。 「expose_php」パラメータをオフにすると、PHP はバージョン情報を非表示にすることができます。

[root@centos66 ~]# vi /etc/php.ini

php.ini で、expose_php を含む行を見つけて、On を Off に設定します:

expose_php = Off

この前に、Web サーバーヘッダーは次のようになります:

[root@centos66 ~]#curl -I http://www.ehowstuff.com/

HTTP/1.1 200 OK

Server: nginx

Content- Type: text/html ; charset=UTF-8

Vary: Accept-Encoding

X-Powered-By: PHP/5.3.3

X-Pingback: http://www.ehowstuff.com/xmlrpc.php

日付: 水曜日, 11 Feb 2015 14:10:43 GMT

X-Page-Speed: 1.9.32.2-4321

Cache-Control: max-age=0, no-cache

Web サービスを変更して再起動します その後、php Web サービスヘッダーにバージョンは表示されません:

HTTP/1.1 200 OK

Server: nginx

Content-Type: text/html: charset=UTF-8

Vary: Accept-Encoding

X; -Powered-By: PHP/5.3.3

X-Pingback: http://www.ehowstuff.com/xmlrpc.php

Date: Wed, 11 Feb 2015 14:10:43 GMT

X-Page-速度: 1.9.32.2-4321

キャッシュ制御: max-age=0、no-cache

LCTT 翻訳アノテーション: PHP のバージョンに加えて、Web サーバーはデフォルトでバージョン番号もリークします。 Apache サーバーを使用している場合は、この記事を参照して Apache バージョンの表示をオフにしてください。Nginx サーバーを使用している場合は、http セクションに server_tokens 構成を追加してください。上記の変更を行った場合は、関連サービスを必ず再起動してください。