出于安全考虑,关闭掉服务器的WEB环境版本信息,起码黑客就少了个情报,对入侵起码可以有点小防御作用,如何开启呢?
两个关键:ServerSignature和ServerTokens
ServerSignature 修改为Off
ServerTokens 修改为Prod
作者针对两个版本进行修改说明:
一:yum安装搭配环境
[root@qingxinzui ~]# vi /etc/httpd/conf/httpd.conf
二:XAMPP快速部署环境
[root@qingxinzui ~]# vi /etc/opt/lampp/etc/extra/httpd-defatul.conf
作者在yum安装环境,直接修改httpd.conf就可以了。
xampp环境下 仍然会显示
Error 403
Apache
不过基本足够了。
至于PHP
[root@qingxinzui ~]# vi /etc/php.ini
expose_php = Off #修改
xampp版:
[root@qingxinzui ~]# vi /opt/lampp/ext/php.ini
还有一个顺便说下,就是如果没有index的开头文件,以目录形式显示,这是很不安全的。人家随便就把你源代码给搞下去了。
修改httpd.conf配置文件。(如果您的apache下有多个web站点,最好全部修改下)
以下是针对yum环境,xampp环境是在<Directory “/opt/lampp/htdocs”>
<Directory “/var/www/html”>
#Options Indexes FollowSymLinks
#修改成这样
Options FollowSymLinks
<Directory ” “>内的其实对目录的控制,当然有些要对cgi-bin进行控制的。
作者只是把站点的目录权限修改。这样,如果站点内没有index.的文件,就会跳出403错误页面而不会把目录暴露出来,大大的加强了服务器信息泄露的可能。
关于作者