Header 關閉 Nginx PHP 的版本資訊

2015-05-06 CentOS, 資安攻防戰

因為系統安全性的問題,不希望在網站的 Response Header 可以取得太多的資料

避免因為版本漏洞而讓人有機可趁

 

 

示範環境是採用 Nginx + php,在預設 Header 都會顯示這兩者的版本訊息

$ curl -I shazi.twbbs.org

HTTP/1.1 200 OK
Server: nginx/1.4.6 (Ubuntu)
Date: Wed, 06 May 2015 07:26:55 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
X-Powered-By: PHP/5.0

 

 

關閉 Nginx 版本資訊

$ vim /etc/nginx/nginx.conf

server_tokens off;

 

 

關閉 PHP 版本資訊

$ vim /etc/php.ini

expose_php Off

 

重啟 nginx、php-fm 馬上生效

在測試一次

$ curl -I shazi.twbbs.org

HTTP/1.1 200 OK
Server: nginx
Date: Wed, 06 May 2015 07:26:55 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive

 

nginx、php 版本資訊都被隱藏了

但 nginx 的缺點沒辦法完全隱藏,還是會留下 nginx

這點 Apache 就可以完全隱藏起來。

 

給 Mr. 沙先生一點建議

彙整

分類

展開全部 | 收合全部

License

訂閱 Mr. 沙先生 的文章

輸入你的 email 用於訂閱