tenginx php,隐藏nginx/tengine、apache、php版本号

最新推荐文章于 2021-11-26 15:01:48 发布
最新推荐文章于 2021-11-26 15:01:48 发布
阅读量300 收藏
点赞数
文章标签: tenginx php

一.隐藏nginx|tengine版本号

Nginx和tengine默认情况下是显示版本号的,如下所示

[attach]38[/attach]

如上图所示可以看出服务器是tegine 2.0.0版本,有时候会暴露哪个Tengine或Nginx版本的漏洞,就是说有些版本有漏洞,而有些版本没有。这样暴露出来的版本号就容易变成攻击者可利用的信息。所以,从安全的角度来说,隐藏版本号会安全很多。

下面我们就来看看怎么设置,可以隐藏Tengine/Ngine的版本号:1.进入到你Tengine/Nginx的安装目录,然后编辑主配置文件

# vim nginx.conf

在http {......}里加上server_tokens off;如:

http {

.....省略

sendfile on;

tcp_nopush on;

gzip on;

proxy_redirect off;

server_tokens off;

.....省略

}[attach]39[/attach]2.如果后端接了php-fpm,则编辑配置文件fastcgi.conf或fcgi.conf (这个配置文件名也可以自定义的,根据具体文件名修改):

找到:

fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;

改为:

fastcgi_param SERVER_SOFTWARE nginx;3、重新加载tengine/nginx配置:

# /etc/init.d/tengine restart

这样就完全对外隐藏了nginx版本号了,就是出现404、501等页面也不会显示nginx版本。

最后验证结果:

[attach]40[/attach]

如果想把Tengine也隐藏点,需要编辑Tengine源码中的src/core/nginx.h头文件

[attach]41[/attach]

也可修改成你想要的显示信息,然后重新编译安装。

[attach]42[/attach]

二.隐藏Apache版本号

一般情况下,软件的漏洞信息和特定版本是相关的,因此,软件的版本号对攻击者来说是很有价值的。

在默认情况下,系统会把Apache版本模块都显示出来(http返回头信息)。如果列举目录的话,会显示域名信息(文件列表正文),如:

[attach]43[/attach]

隐藏方法:

1、隐藏Apache版本号的方法是修改Apache的配置文件,如Centos系统Linux默认是:# vim /etc/httpd/conf/httpd.conf分别搜索关键字ServerTokens和ServerSignature,修改:ServerTokens OS 修改为 ServerTokens ProductOnly

ServerSignature On 修改为 ServerSignature Off2、重启或重新加载Apache就可以了# /etc/init.d/httpd restart验证:

[attach]44[/attach]

版本号与操作系统信息已经隐藏了

3、上面的方法是默认情况下安装的Apache,如果是编译安装的,还可以用修改源码编译的方法:

进入Apache的源码目录下的include目录,然后编辑ap_release.h这个文件,你会看到有如下变量:

#define AP_SERVER_BASEVENDOR “Apache Software Foundation”

#define AP_SERVER_BASEPROJECT “Apache HTTP Server”

#define AP_SERVER_BASEPRODUCT “Apache”

#define AP_SERVER_MAJORVERSION_NUMBER 2

#define AP_SERVER_MINORVERSION_NUMBER 2

#define AP_SERVER_PATCHLEVEL_NUMBER 15

#define AP_SERVER_DEVBUILD_BOOLEAN 0可以根据自己喜好,修改或隐藏版本号与名字

三、隐藏php版本号

为了安全起见,最好还是将PHP版本隐藏,以避免一些因PHP版本漏洞而引起的攻击。

1、隐藏PHP版本就是隐藏 “X-Powered-By: PHP/5.4.42″ 这个信息:

编辑php.ini配置文件,修改或加入: expose_php = Off 保存后重新启动Nginx或Apache等相应的Web服务器即可

验证:

[attach]46[/attach]

2、其它几个PHP的基本安全设置:disable_functions = phpinfo,system,exec,shell_exec,passthru,popen,dl,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

#该指令接受一个用逗号分隔的函数名列表,以禁用特定的函数。

display_errors = Off

#是否将错误信息作为输出的一部分显示。在最终发布的web站点上,强烈建议你关掉这个特性,并使用错误日志代替。打开这个特性可能暴露一些安全信息,例如你的web服务上的文件路径、数据库规划或别的信息。

allow_url_fopen = Off

#是否允许打开远程文件,建议关闭,如果网站需要采集功能就打开。

safe_mode = On

#是否启用安全模式。打开时,PHP将检查当前脚本的拥有者是否和被操作的文件的拥有者相同,相同则允许操作,不同则拒绝操作。开启安全模式的前提是你的目录文件权限已完全分配正确。

open_basedir = /var/www/html/devopsh:/var/www/html/zhouuupc

#目录权限控制,devopsh目录中的php程序就无法访问zhouuupc目录中的内容。反过来也不行。在Linux/UNIX系统中用冒号分隔目录,Windows中用分号分隔目录。

weixin_39540178
关注
apache隐藏版本信息及设置网页缓存
qq_40907977的博客
10-02 179
安装apache屏蔽apache版本等敏感信息 查看apache版本信息: [root@localhost ~]# curl -I www.baidu.com X-Powered-By: HPHP Server: bfe/1.0.8.18 X-UA-Compatible: IE=Edge,chrome=1 BDPAGETYPE: 1 BDQID: 0xcfd31d8200026e11 BDUSERID: 0 测试自己的网站看是什么版本?有没有相应的漏洞 [root@localhost ~]# curl
Nginx隐藏服务器端各类信息的方法
09-30
主要介绍了Nginx隐藏服务器端各类信息的方法,包括隐藏HTTP头信息和PHP版本号等等,需要的朋友可以参考下
隐藏 tengine 和 tomcat 版本号
wanglei_storage的博客
11-12 5996
隐藏Tengine和Tomcat版本号安装完软件一般第一时间都是关闭其版本信息和其他信息,一些黑客会通过该软件暴露出来的信息针对性的入侵,为了服务器的安全这些信息一定要及时关闭一、隐藏Tengine的版本信息先来访问看看版本号暴露出的信息: 在上图中可以看到,Server name,Access time以及URL和下面的Tengine版本号都被显示了出来,那么如何隐藏这些信息呢?修改nginx
隐藏Tengine的版本信息
weixin_33877092的博客
07-01 1099
http { ..... server_tokens on; server_info on; server_tag bass; reset_timedout_connection on; keepalive_timeout 120; keepalive_requests 1...
隐藏 Nginx | Tengine 服务器信息
A5DER
12-28 1927
1. 修改nginx.conf配置文件 在http块中配置server_tokens off; http { ... server_tokens off; ... } 2. 修改fastcgi.conf配置文件 修改 fastcgi_param  SERVER_SOFTWARE    nginx/$nginx_version; 为     fastcgi_param  S
Nginxtengine 介绍以及配置
狂躁的辣条的博客
04-02 3882
NginxtengineNginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。由俄罗斯的程序设计师Igor Sysoev所开发, •其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:新浪、网易、腾讯等。 •功能: –web服务器 ...
自适应各终端懒人网址导航源码-PHP
06-20
宝塔Nginx -Tengine2.2.3的PHP5.6 + MySQL5.6.44 先导入数据库文件db/db.sql 再修改config.php数据库配置 然后服务器设置好伪静态规则 访问网站OK 后台是:你的域名/admin/login.php 账号:admin 密码:qqqqqq Nginx...
Nginx简介
weixin_38996555的博客
05-08 237
目录 主流web服务器 Nginx优点 Nginx的三大应用 Nginx组成 Nginx版本发布情况 Nginx版本选择 一、三大主流web服务器: 1.Nginx 2.Apache 3.Tomcat 二、Nginx的优点 1.高并发,高性能 2.可扩展性好 3.高可靠性 4.热部署 5.BSD许可证 三、Niginx的三个应用场景 1.静态资源服务 通过本地文件系统提供服务 2.反向代理服务: Nginx的强大性能 缓存 负载均衡 3.API服务 OpenResty 四、Nginx的组成 Nginx 二进
MacOS 下 Nginx 安装记录
无知人生,记录点滴
03-20 4223
之前写过:CentOS6.5下Nginx1.7.4安装记录CentOS 6.5 下 Tengine 安装记录最近工作办公电脑换了 Mac,刚好有机会实践一下。安装非常简单:sudo port install nginx或者使用:sudo brew install nginx使用brew可能还需要:brew search nginxport 和 brew 是 Mac 下两大包管理工具,使用它们安装软
文件隐藏服务器版本信息,隐藏Tengine的版本信息
weixin_36180471的博客
08-11 361
【AI】蒙特卡洛搜索树http://jeffbradberry.com/posts/2015/09/intro-to-monte-carlo-tree-search/ 蒙特卡洛方法与随机优化: http://iacs-co ...【Matplotlib】 标注一些点相关的文档: Annotating axis annotate() command 标注的代码如下: ... t = 2 * np.p...
linux隐藏tomcat版本_查看nginx | apache | php | tengine | tomcat版本的信息以及如何隐藏版本信息...
weixin_35092037的博客
01-12 478
昨天配置nginx的时候说道隐藏版本信息的问题,今天就罗列一下要操作的信息列表nginx版本信息查询及隐藏Apache版本信息查询及隐藏php版本信息查询及隐藏tengine版本信息查询及隐藏tomcat版本信息查询及隐藏详细操作步骤1.1、nginx版本信息查询[root@zhuima_nginx~]#nginx-vnginxversion:nginx/1.6.01.2、nginx编译...
隐藏nginx版本号隐藏X-Powered-By
或非与博客
07-26 8804
隐藏Server的信息,Nginx版本号,在nginx.conf http段加上server_tokens off就可以隐藏nginx版本号 http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_tim...
隐藏Nginx版本号的简单方法
DDDDDDDDDecade的博客
11-26 9363
隐藏Nginx版本号
服务器隐藏Nginx版本号
若是凉夜已成梦
05-04 1597
第一步:修改nginx配置文件vim /usr/local/nginx/conf/nginx.conf 在tcp_nodelay on;后面(或前面)添加server_tokens off;第二步:修改php-fpm配置文件php-fpm配置文件的名字叫fastcgi.conf或fcgi.conf,(和nginx.conf在同一个目录下)vim /usr/local/nginx/conf/fastc
Nginx源码出发-隐藏响应头的Server版本号等信息
who7708的专栏
01-28 1892
需求 当我们使用http/https请求时, nginx 会在请求的response里面的header加入Server: nginx:1.18 信息, 如果可以隐藏, 就不会被别人知道, 我用的是哪款web服务器, 或哪个版本. 例如 新浪网: Server: nginx / Server: WeiBo/LB 开源中国: Server:Tengine / server: marco/2.13 segmentfault 没有返回Server!/ server: Tengine 修改 nginx
linux隐藏版本信息,Nginx版本信息隐藏或修改
weixin_30304773的博客
05-02 573
细节决定成败,服务器的安全也是这样!隐藏或者修改Nginx的信息,不是什么炫酷的技能,只是Nginx设置中的一个小小的细节。Http中的Nginx版本信息查看http请求的response里面的header我们会发现有server这个参数,它表示服务端使用的是什么web服务器。例如新浪网:Server: nginxLinux公社:Server: Tenginesegmentfault甚至都没有返回...
Nginx隐藏响应头信息的Server信息和版本信息
热门推荐
Sirius的博客
05-01 1万+
1、隐藏nginx版本信息在nginx.conf里面加server_tokens off;就可以隐藏版本号。2、隐藏server信息实现方案 : 需要重新编译nginx进入解压出来的nginx 源码 目录(不是nginx的安装目录) vi src/http/ngx_http_header_filter_module.c # 49-50行 编辑:内容: static char ngx_http_se
Docker下配置Nginx反向代理隐藏域名后的端口号
CSDN__CPP的博客
11-24 2251
通过Nginx可以很方便的隐藏域名后的端口号,通过宿主机的80端口映射到nginx,再由nginx配置转发到你想要的地址,即实现端口号的隐藏
隐藏Nginx版本号的详细教程与方法
- 配置文件通常位于`/etc/nginx/nginx.conf`或`/usr/local/nginx/conf`等位置。在server块中,可以移除或修改`ServerTokens`参数,使其默认值变为` Prod`或`-`,这样返回的HTTP头中将不会显示版本号。例如: ``` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值