通常,大多数默认设置安装的web服务器存在信息泄露,这其中之一就是PHP。PHP 是如今流行的服务端html嵌入式语言(之一?)。在如今这个充满挑战的时代,有许多攻击者会尝试发现你服务端的漏洞。因此,我会简单描述如何在Linux服务器中隐藏PHP信息。
默认上expose_PHP默认是开的。关闭“expose_PHP”参数可以使PHP隐藏它的版本信息。
PHP.ini
在你的PHP.ini,定位到含有expose_PHP的那行把On设成Off:
PHP = Off
在此之前,web服务器头看上去就像这样:
Nginx
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
X-Powered-By: PHP/5.3.3
X-Pingback: http://www.ehowstuff.com/xmlrpc.PHP
Date: Wed,11 Feb 2015 14:10:43 GMT
X-Page-Speed: 1.9.32.2-4321
Cache-Control: max-age=0,no-cache
更改并重启 Web 服务后,PHP就不会在web服务头中显示版本了:
Nginx
Date: Wed,11 Feb 2015 15:38:14 GMT
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
X-Pingback: http://www.ehowstuff.com/xmlrpc.PHP
Date: Wed,no-cache