Безопасность. Как спрятать версию apache, nginx и php?


ПО, которое стоит на нашем сервере, на котором крутится наш сайт, его версия и т.д. — информация не для третьих лиц. Думаю не стоит объяснять, как много это может дать для людей, которые понимают различия в версиях и уязвимостях. Для людей, которые, скажем, хотят нанести вред, в той или иной степени, Вашему сайту.

В основном получить информацию о ПО того или иного сайта можно просто выполнив простую команду:

curl -I http://example.com

Например, вот такой вывод:

user@PC~$ curl -I http://www.ubuntu.com
HTTP/1.1 200 OK
Date: Sun, 21 Feb 2016 16:51:43 GMT
Server: Apache/2.2.22 (Ubuntu)
Cache-Control: public, max-age=300
Vary: Accept-Encoding
Content-Type: text/html; charset=utf-8
Age: 65
Content-Length: 26386
X-Cache: HIT from privet.canonical.com
X-Cache-Lookup: HIT from privet.canonical.com:80
Via: 1.1 privet.canonical.com:80 (squid/2.7.STABLE7)

Разберем, как скрыть с глаз важную информацию.

nginx
В секцию http добавляем параметр server_tokens off;.
Документация здесь.

php
Открываем php.ini и изменяем значение параметра expose_php на Off. Если такой строки нет — соответственно добавляем ее.
Не забываем при этом перезапустить сервис, на котором крутиться php.

Apache
В главном конфигурационном файле добавляем следующие строки:

ServerTokens ProductOnly
ServerSignature Off

Это поможет нам скрыть версию сервера.

Не забываем переапустить все и вся. Готово! Посторонние глаза не увидят никакой информации об окружении Вашего сервера.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *