Безопасность веб-сервера. Скрываем версии Apache и PHP на Linux (Debian 8 Jessie/Debian 9 Stretch/Ubuntu Server 14.04 LTS)

Рассмотрим применение базовых мер безопасности на веб-сервере (Apache), развернутом на Linux (DEB) (Debian 8 Jessie/Debian 9 Stretch/Ubuntu Server 14.04 LTS и т.д.).

 

После установки веб-сервера и PHP, в первую очередь необходимо скрыть версии самого веб-сервера и PHP. Знание злоумышленником версии установленных продуктов, может облегчить ему задачу по поиску известных уязвимостей, для этих версий продуктов.

 

Скрытие версии Apache

Изначально при обращении к веб-серверу, он выдает версию самого веб-сервера и системы на которой он работает. Для примера откроем несуществующую страницу на веб-сервере:

Либо выполним curl запрос:

 

В обоих случаях мы видим версию веб-сервера и ОС на которой он работает. Чтобы скрыть эти данные, нужно в конфигурационный файл (/etc/apache2/apache2.conf) веб-сервера (Apache) добавить два параметра:

 

Перезапускаем веб-сервер и проверяем, выполним аналогичные запросы что делали выше. Результат должен быть такой:

 

 

Теперь информация о версии веб-сервера и ОС на которой он работает, не отображается.

 

Скрытие версии PHP

По-умолчанию веб-сервер (Apache), при запросах включает версию PHP в «X-Powered-By» ответа HTTP заголовка.

 

Выполним curl запрос, станицы php:

 

Видим что веб-сервер успешно выдал версию PHP, в секции X-Powered-By. Чтобы скрыть версию PHP в HTTP заголовке, нужно в конфигурационном файле (/etc/php5/apache2/php.ini), задать параметр:

 

Перезапускаем веб-сервер и проверяем, выполним curl запрос, станицы php. Теперь в HTTP заголовках ответа не будет секции X-Powered-By.

 

 

Понравилась или оказалась полезной статья, поблагодари автора

 

БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
Загрузка...

Оставить ответ

9 + шесть =