Календарь

« Ноябрь 2024 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
	1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

Опрос

Какие статьи добавлять?

Как спрятать версию веб-сервера

Автор: administrator Дата: 5-08-2015, 00:13 Категория: Настройка сервера

По умолчанию Веб-серверы в заголовках отдают свой тип, а также версию. Эту информацию могут использовать хакеры, чтобы начать целенаправленные атаки. Кроме того, если версия вашего веб-сервера имеет известную уязвимость, то хакер воспользуется готовым эксплоитом.

Пример «информативных» заголовков веб-сервера:

HTTP/1.1 200 OK
Date: Thu, 24 Jun 2014 23:55:01 GMT
Server: Apache/2.2.21 (Win32) PHP/5.4.7
Content-Length: 30643
Connection: close
Content-Type: text/html; charset=UTF-8

Прячем версию Nginx

Чтобы спрятать версию Nginx нужно добавить или отредактировать уже существующий параметр server_tokens
- Переходим в папку /etc/nginx/
- Открываем файл nginx.conf (/etc/nginx/nginx.conf)
- В секции http вписываем, или редактируем строку на server_tokens off
- Перезапускаем nginx: service nginx restart
Nginx не будет отдавать свою версию, в заголовках будет лишь «Server: nginx»

Прячем версию Apache

Чтобы спрятать версию Apache нужно добавить/отредактировать параметры в:
/etc/apache2/conf.d/security (для CentOs /etc/httpd/conf/httpd.conf)

Параметры:
ServerTokens ProductOnly — Apache не будет отдавать свою версию. В заголовках будет лишь «Server: Apache»
ServerSignature Off — Apache не будет отображать свою версию на страницах с ошибками (404, 403 и т.д.).
Чтобы полностью скрыть факт использования Apache следует использовать ModSecurity.

Прячем версию IIS

Для удаления информации о сервере IIS из ответов HTTP можно воспользоваться инструментом URLScan от Microsoft.
После установки URLScan откройте файл Urlscan.ini с помощью текстового редактора. Файл обычно находится в папке %WINDIR%\System32\Inetsrv\URLscan. Найдите директиву RemoveServerHeader, которая по умолчанию установлена в 0. Установите значение 1, чтобы удалить заголовок Server.

Прячем версию php

В php.ini добавляем/меняем:

expose_php = Off

перезапускаем apache

Как найти файл php.ini, который служит конфигурацией для сервера:
- По FTP открываем главный файл (index.php);
- записываем в самое начало файла php функцию - phpinfo();
- переходим в браузере на страницу сайта, где будет выведена вся информация по конфигурации php
- теперь находим почти в самом верху строку Loaded Configuration File

Loaded Configuration File содежит путь и имя файла конфигурации для php
В CentOs этот путь такой: /etc/php.ini

Подробная информация по настройке php в предыдущей статье

Просмотров: 3 059 Напечатать Жалоба

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.