隐藏Apache信息(防止对应的版本泄露进行攻击)

本帖最后由 love 于 2016-10-11 19:31 编辑
一、apache
apache 的httpd.conf 有两个配置可以控制是否显示服务器信息给用户。
对于XAMPP,这两者的配置在conf\extra\httpd-default.conf中。
ServerTokens
ServerSignature

默认条件下会把apache版本系统模块都显示出来(HTTP 返回头)
设置为:
ServerTokens Prod
ServerSignature Off
就隐藏Apache的Apache Version信息。

还有如果列举目录的话会显示域名信息(文件列表正文)
如果不想要就可以调这两个参数
ServerTokens
ServerSignature

ServerSignature On|Off|Email
ServerTokens Minimal|Prod|OS|Full


ServerTokens Prod[uctOnly]
Server sends (e.g.): Server: Apache
ServerTokens Min[imal]
Server sends (e.g.): Server: Apache/1.3.0
ServerTokens OS
Server sends (e.g.): Server: Apache/1.3.0 (Unix)
ServerTokens Full (or not specified)
ServerSignature
控制由系统生成的页面(错误信息,mod_proxy ftp directory listing等等)的页脚中如何显示信息。
可在全局设置文件中控制,或是通过.htaccess文件控制
默认为”off”(ServerSignature Off),有些Linux发行版本可能会打开这个阀门,比如Debian在默认的虚拟主机上默认将这个阀门设置为开放
全局阀门的阀值会被虚拟主机或目录单位的配置文件中的阀值所覆盖,所以,必须确保这样的事情不应该发生
可用的阀值为下面所示:
Off (default): 不输出任何页脚信息 (如同Apache1.2以及更旧版本,用于迷惑)
On:输出一行关于版本号以及处于运行中的虚拟主机的ServerName (2.0.44之后的版本,由ServerTokens负责是否输出版本号)
EMail: 创建一个发送给ServerAdmin的”mailto”

二、隐藏PHP 版本
php.ini
expose_php On
改成
expose_php Off
重启apache后,php版本在http头中隐藏了。
发表于 2016-10-11 19:30:01 | 显示全部楼层 |阅读模式

回复 | 使用道具 举报

该帖共收到 0 条回复!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发布主题

QQ|论坛首页|站点统计|小黑屋|云锁论坛-服务器安全技术讨论专业论坛、云锁软件技术讨论 ( 京ICP备14002707号-3  

GMT+8, 2018-10-18 22:52 , Processed in 0.100385 second(s), 29 queries .

Powered by 云锁

© 2014-2018 JOWTO Inc.

快速回复 返回顶部 返回列表