apache php 安全,Apache PHP的安全设置

最新推荐文章于 2023-02-20 18:15:33 发布
最新推荐文章于 2023-02-20 18:15:33 发布
阅读量197 收藏
点赞数
文章标签: apache php 安全

在另一篇“如何简单获取Web服务器(Apache)的版本”中,我说到了为了防止某些别有用心的家伙窥视我们的服务器,应该做些什么,即便是为我们的服务器砌上一堵砖墙也好(虽然不怎么结实,但总比裸露在外界好些吧!)

Okay,让我们先来看看,这砖墙应该砌在什么地方?呵呵 ,让我们着眼于2个参数,分别为ServerTokens和ServerSignature,通过控制这2个阀门应该就能起到一些作用,比如我们可以在配置文件中这么写:

ServerTokens ProductOnly

ServerSignature Off

ServerTokens

这个阀门用于控制服务器是否相应来自客户端的请求,向客户端输出服务器系统类型或内置模块等重要的系统信息。

在主配置文件中提供全局控制

默 认阀值为”Full”(ServerTokens Full),所以,如果你的Linux发行版本没有更改过这个阀值的话,所有与你的系统有关的敏感信息都会向全世界公开(恐怖哦~)。比如RHEL会将该 阀值更改为”ServerTokens OS”,而Debian依然使用默认的”Full”阀值

以apache-2.0.55为例,阀值可以设定为以下某项(后面为相对应的Banner Header):

ProductOnly  >>>    Server: Apache

Major  >>>    Server: Apache/2

Minor  >>>  Server: Apache/2.0

Minimal  >>>  Server: Apache/2.0.55

OS  >>>  Server: Apache/2.0.55 (Debian)

Full (or not specified) default  >>>  Server: Apache/2.0.55 (Debian) PHP/5.1.2-1

+b1 mod_ssl/2.0.55 OpenSSL/0.9.8b

ServerSignature

这个阀门控制由系统生成的页面(错误信息,mod_proxy ftp directory listing等等)的页脚中如何显示信息。

可在全局设置文件中控制,或是通过.htaccess文件控制

默认为”off “(ServerSignature Off),有些Linux发行版本可能会打开这个阀门,比如Debian在默认的虚拟主机上默认将这个阀门设置为开放

全局阀门的阀值会被虚拟主机或目录单位的配置文件中的阀值所覆盖,所以,必须确保这样的事情不应该发生

可用的阀值为下面所示:

Off (default): 不输出任何页脚信息 (如同Apache1.2以及更旧版本,用于迷惑)

On:输出一行关于版本号以及处于运行中的虚拟主机的ServerName

(2.0.44之后的版本,由ServerTokens负责是否输出版本号)

EMail: 创建一个发送给ServerAdmin的”mailto”

注意*上述关于如何设置2个阀门从而尽量减少敏感信息泄露的方法,并不会使你的服务器真的更安全,如果你现在使用的版本比较旧,请务必尽快将系统升级,降低被蠕虫***的风险。

=======================================================================

如果你已经看过我写的另一篇关于如何隐藏Apache信息的文章,你就不会感到陌生,是的,我们今天再来谈谈如何隐藏PHP信息,毕竟apache+php的组合,就像切片面包+果酱一样,深入千家万户,呵呵

还记得我们上次提到的那2个阀门了吗?对,就是ServerTokens & ServerSignature,Okay,让我们先来看看,通过设置这2个阀门后系统会提供给我们一些什么“有用”的信息:

HEAD http://test01.10domains.com/index.html

200 OK

Connection: close

Date: Fri, 16 Oct 2006 01:13:23 GMT

Server: Apache

Content-Type: text/html; charset=UTF-8

Client-Date: Fri, 16 Oct 2006 21:42:53 GMT

Client-Peer: 192.168.0.102:80

Client-Response-Num: 1

哦~,看上去还不错是吗。好的,再来看看,如果指向的是index.php,那会发生什么:

HEAD http://test01.10domains.com/index.php

200 OK

Connection: close

Date: Fri, 16 Oct 2006 01:16:30 GMT

Server: Apache

Content-Type: text/html; charset=UTF-8

Client-Date: Fri, 16 Oct 2006 21:48:13 GMT

Client-Peer: 192.168.0.102:80

Client-Response-Num: 1

X-Powered-By: PHP/5.1.2-1+b1

看到最后那行了吗?我们的狐狸尾巴被暴露了~

要隐藏这条大尾巴,我们就得去php.ini把它关闭掉,因为它默认是开放的(哦~太搞笑了,这么大条尾巴),编辑你的php.ini文件(它可能位于 /etc/php.ini , /etc/oho5/apache2/php.ini,或是其他什么只有你自己知道的地方8-P),找到”expose_php On”这行,把它改成”Off “就可以了:

expose_php = Off

这下好了,再也不用担心大尾巴了,我只是把大尾巴牢牢绑在大腿上藏在大风衣下面而已,但这并不代表我们就不是只狐狸了,哈哈哈

不料青山
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux下的ApachePHP安全设置技巧
09-15
Linux下的ApachePHP安全设置技巧,都是一些比较重要的细节。为了让你的服务器更安全,一定要注意下。
隐藏服务器基本信息,隐藏Apache的服务器配置信息
weixin_31559919的博客
08-13 721
>ServerTokens ProductOnly 和 ServerSignature Off 微调 Apache返回信息apache 的 httpd.conf 有两个配置可以控制是否显示服务器信息给用户ServerTokensServerSignature默认条件下会把apache版本 系统 模块都显示出来 (HTTP 返回头)还有如果列举目录的话 会显示域名信息(文件列表正文)(ht...
Linux下ApachePHP安全相关设置
qqww378155的专栏
05-04 639
<br /><br />对于提供公共网络服务的ISP,基于安全性理由,建议apachephp都使用最小权限的公用设置.<br />针对特定用户所提出的涉及安全性能的特殊要求, 可以在不改变全局性的共用设置的情况下,<br />通过利用Apache Virtualhost的PHP扩展功能来实现. 只需在相应用户的Virtualhost的设置<br />段落中插入php_value,php_admin_value或php_admin_flag指令,就可以使该用户具有与全局<br />设置不同的权限和行为.<b
中间件安全Apache常见漏洞
剁椒鱼头没剁椒的博客
02-20 6144
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。apache httpd支持一个文件多个后缀,windows对于多后缀的识别是看最后一个“.”之后的后缀名。apache对于多后缀文件的识别是从后往前识别,最后一个后缀不能被识别时,会往前识别。
apachephp安全版配置,Tomcat、ApachePHP配置文件中的安全项(一定要配置)
weixin_42357916的博客
03-12 79
一、tomcat6.0安全设置1、禁止列表--应用的列目录漏洞我们知道在IIS中如果设置不当,就会列出Web当前目录中的所有文件,在Tomcat也不例外。如果浏览者可以在客户端浏览Web目录,那将会存在较大的安全隐患,因此我们要确认Tomcat的设置中禁止列目录。设置文件是tomcat/conf/web.xml。用记事本打开该文件,搜索init-param在其附近找到类似如下字段:listings...
PHP安全配置
m0_58033230的博客
08-22 1007
PHP.ini安全配置
Apache下禁止特定目录执行PHP 提高服务器安全
01-20
如果用的是Apache服务器,还可以通过配置来禁止该目录下的PHP文件的访问,有两种方式: 方式一:.htaccess控制,适用于没有服务器管理权限。 在可写文件夹的目录下,建一个.htaccess文件,内容为: 代码如下:<Files>...
apache中为php 设置虚拟目录
10-25
主要介绍了apache中为php 设置虚拟目录,需要的朋友可以参考下
PHP伪静态Rewrite设置APACHE
10-25
Rewirte主要的功能就是实现URL的跳转和隐藏真实地址,基于Perl语言的正则表达式规范。平时帮助我们实现拟静态,拟目录,域名跳转,防止盗链等
apache php安全配置,apache 服务器安全配置
weixin_33502400的博客
04-03 263
0x01.错误详情页隐藏错误详情页测试方法:访问网站不存在的页面,如果网站没有做404页面重定向,就会泄露其敏感信息如下图:0x01-1.png查看响应头信息:zzq@ubuntu:~$ curl -I http://192.168.178.135/HTTP/1.1 200 OKDate: Tue, 01 May 2018 11:58:36 GMTServer: Apache/2.4.7 (Ubu...
Apache安全配置
嘻嘻哈哈
01-11 2904
基于window 1.用普通用户运行Apache 在计算机管理的本地用户里新建一个用户 我的电脑——属性——管理——服务——Apache服务——属性——登录 2.Apache目录权限设置 Apache所在的根目录只需要读取权限;可以在权限设置高级里选择——应用到:只有该文件夹——权限:列出文件夹/读取数据, 读取属性,读取扩展属性,读取权限——确定 Apache的上级目录,需要
十大PHP最佳安全实践(转)
只要开心就好
01-31 1301
导读:本文来自知名时尚媒体ELLE(大陆版即《世界时装之苑》)网站的香港工程师Anson Cheung。文中他例举了有关PHP10个方面的最佳安全实践方式,供系统管理员学习与参考。原文是《Top 10 PHP Best Security Practices for Sys Admins》,以下是译文: PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今,大部分Web服
Apache的各种优化以及安全配置详解
热门推荐
BLXH-AS
01-27 1万+
简介: Apache所运行的硬件环境都是对性能影响最大的因素,即使不能对硬件进行升级,也最好给Apache一个单独的主机以免受 到其他应用的干扰。各个硬件指标中,对性能影响最大的是内存,对于静态内容(图片、JavaScript文件、css文件等) 它决定了Apache可以缓存多少内容,它缓存的内容越多,在硬盘上读取内容的机会就会越少,大内存可以极大提高静态站点的速度; 对动态高负载站点来说
php安全配置
Daisy的博客
04-10 1683
1.软件版本:PHP版本应该从PHP官方提供的下载页面下载,注意不要下载beta版本。 PHP官网下载地址为:http://www.php.net/downloads.php 2.控制脚本访问权限:PHP默认配置允许php脚本程序访问服务器上的任意文件,为避免php脚本访问不该访问的文件,从一定程度上限制了php木马的危害,需设置php只能访问网站目录或者其他必须可访问的目录。 /usr/l...
apache多个php版本fcgi,apache使用mod_proxy_fcgi实现多版本php共存
weixin_39956350的博客
03-23 310
2019-08-02apache使用mod_proxy_fcgi实现多版本php共存首先配置php安装你想用的php版本,找到你的php-fpm.conf配置文件将listen换成你想要的端口比如listen = 127.0.0.1:9099注意,如果你的fpm系变量配置文件在php-fpm.d的www.conf下面,请在www.conf添加。启动php/opt/remi/php71/root/u...
虚拟主机 php5.4,Apache多虚拟主机多版本PHP(5.2+5.3+5.4)共存运行配置
weixin_42168341的博客
03-10 132
1、根据 apache 版本下载对应的 mod_fcgid-2.3.9-win64-VC14.ziphttps://www.apachelounge.com/download/解压fcgid,取其mod_fcgid.so至modules目录 。PHP各版本解压到不同目录并配置,任意位置,方便即可。2.打开httpd.conf 注释掉以下类似配置#PHPIniDir "D:/php53/"#Load...
Apache2.2+fastCGI+(多版本)PHP配置
sinat_41765677的博客
09-29 210
Apache2.2+fastCGI+(多版本)PHP配置       最近因为项目需要(项目主管希望能让项目在多版本PHP【5.1.0以上】中都能保证正常运行,实话说,要在一个Apache(我用的是Apache)中加载多个版本的Php 进行测试,还真的没有试过,也不知道到底怎么样,也担心把自己ubuntu环境给搞坏了(修复麻烦啊),所以就在虚拟机xp里做测试,所以,以下...
Apache升级PHP教程(以5.3.3升级到5.6.30为例)
weixin_33795093的博客
10-26 636
最简单的LAMP环境搭建当然是通过yum来安装,但由于镜像仓库中的软件版本更新较慢,经常会遇到版本过旧的问题,尤其是安装一些新版本的CMS时的PHP。 这时我们需要手动编译PHP,Linux编译安装经常是./configure--make--make install三大步,但是实践中发现简单地这样安装会发现通过php -v呈现的版本号已经改变但是通过phpinfo()函数查看到的httpd使用的p...
apache php mysql
最新发布
04-28
ApachePHP和MySQL是一组免费开源的Web技术,它们被广泛应用于创建现代动态网页。Apache是一种开源的Web服务器软件,它可以在多种操作系统上运行,并为浏览器提供Web页面。PHP是一种服务器端脚本语言,可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值