Главная / Настройка сервера > Как спрятать версию веб-сервера

Как спрятать версию веб-сервера

По умолчанию Веб-серверы в заголовках отдают свой тип, а также версию. Эту информацию могут использовать хакеры, чтобы начать целенаправленные атаки. Кроме того, если версия вашего веб-сервера имеет известную уязвимость, то хакер воспользуется готовым эксплоитом.

Пример «информативных» заголовков веб-сервера:


HTTP/1.1 200 OK
Date: Thu, 24 Jun 2014 23:55:01 GMT
Server: Apache/2.2.21 (Win32) PHP/5.4.7
Content-Length: 30643
Connection: close
Content-Type: text/html; charset=UTF-8


Прячем версию ​​Nginx


Чтобы спрятать версию Nginx нужно добавить или отредактировать уже существующий параметр server_tokens
- Переходим в папку /etc/nginx/
- Открываем файл nginx.conf (/etc/nginx/nginx.conf)
- В секции http вписываем, или редактируем строку на server_tokens off
- Перезапускаем nginx: service nginx restart
Nginx не будет отдавать свою версию, в заголовках будет лишь «Server: nginx»

Прячем версию Apache


Чтобы спрятать версию Apache нужно добавить/отредактировать параметры в:
/etc/apache2/conf.d/security (для CentOs /etc/httpd/conf/httpd.conf)

Параметры:
ServerTokens ProductOnly — Apache не будет отдавать свою версию. В заголовках будет лишь «Server: Apache»
ServerSignature Off — Apache не будет отображать свою версию на страницах с ошибками (404, 403 и т.д.).
Чтобы полностью скрыть факт использования Apache следует использовать ModSecurity.

Прячем версию ​​IIS


Для удаления информации о сервере IIS из ответов HTTP можно воспользоваться инструментом URLScan от Microsoft.
После установки URLScan откройте файл Urlscan.ini с помощью текстового редактора. Файл обычно находится в папке %WINDIR%\System32\Inetsrv\URLscan. Найдите директиву RemoveServerHeader, которая по умолчанию установлена в 0. Установите значение 1, чтобы удалить заголовок Server.

Прячем версию php


В php.ini добавляем/меняем:
expose_php = Off

перезапускаем apache

Как найти файл php.ini, который служит конфигурацией для сервера:
- По FTP открываем главный файл (index.php);
- записываем в самое начало файла php функцию - phpinfo();
- переходим в браузере на страницу сайта, где будет выведена вся информация по конфигурации php
- теперь находим почти в самом верху строку Loaded Configuration File

Loaded Configuration File содежит путь и имя файла конфигурации для php
В CentOs этот путь такой: /etc/php.ini

Подробная информация по настройке php в предыдущей статье
5-08-2015, 00:13. Разместил: administrator
Вернуться назад