通常、デフォルト設定でインストールされたWebサーバーのほとんどは情報漏洩を起こしており、その1つがPHPです。 PHP は、現在最も人気のあるサーバーサイド HTML 埋め込み言語の 1 つです。このような困難な時期に、サーバー上の脆弱性を見つけようとする攻撃者がたくさんいます。そこで、LinuxサーバーでPHP情報を非表示にする方法を簡単に説明します。
Expose_php はデフォルトで有効になっています。 「expose_php」パラメータをオフにすると、PHP はバージョン情報を非表示にすることができます。
[root@centos66 ~]# vi /etc/php.ini
php.ini で、expose_php を含む行を見つけて、On を Off に設定します:
expose_php = Off
この前に、Web サーバーヘッダーは次のようになります:
[root@centos66 ~]#curl -I http://www.ehowstuff.com/
HTTP/1.1 200 OK
Server: nginx
Content- Type: text/html ; charset=UTF-8
Vary: Accept-Encoding
X-Powered-By: PHP/5.3.3
X-Pingback: http://www.ehowstuff.com/xmlrpc.php
日付: 水曜日, 11 Feb 2015 14:10:43 GMT
X-Page-Speed: 1.9.32.2-4321
Cache-Control: max-age=0, no-cache
Web サービスを変更して再起動します その後、php Web サービスヘッダーにバージョンは表示されません:
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html: charset=UTF-8
Vary: Accept-Encoding
X; -Powered-By: PHP/5.3.3
X-Pingback: http://www.ehowstuff.com/xmlrpc.php
Date: Wed, 11 Feb 2015 14:10:43 GMT
X-Page-速度: 1.9.32.2-4321
キャッシュ制御: max-age=0、no-cache
LCTT 翻訳アノテーション: PHP のバージョンに加えて、Web サーバーはデフォルトでバージョン番号もリークします。 Apache サーバーを使用している場合は、この記事を参照して Apache バージョンの表示をオフにしてください。Nginx サーバーを使用している場合は、http セクションに server_tokens 構成を追加してください。上記の変更を行った場合は、関連サービスを必ず再起動してください。