Подключение php и защита веб-сервера

Это заметка в которой рассматриваются несколько интересных моментов защиты веб-сервера с помощью скрытия версий ПО.

Засекретим версию php

Для этого в файле php.ini выставим параметр expose_php = Off

Debian-путь: /etc/php5/apache2/php.ini
FreeBSD-путь: /usr/local/etc/php.ini

После этого перезапускаем httpd (Apache)

Запрет вывода версии Apache

В Debian, в файле /etc/apache2/conf.d/security нужно для ServerTokens выставит Prod

В FreeBSD, в файле /usr/local/etc/apache22/extra/httpd-default.conf выставим параметр на ServerSignature Off

Или изменяем в конфиге значения:

ServerTokens Prod  	Server: Apache
ServerTokens Major Server: Apache/2
ServerTokens Minor Server: Apache/2.0
ServerTokens Minimal Server: Apache/2.0.55
ServerTokens Os Server: Apache/2.0.55 (Ubuntu)
ServerTokens Full Server: Apache/2.0.55 (Ubuntu) PHP/5.1.4-1.dotdeb.2 my_mod1/X.Y my_mod2/W.Z

и еще версию

ServerSignature On  	Apache/2.0.59 (Ubuntu) PHP/4.3.10 Server at 127.0.0.2 Port 80
ServerSignature Off
ServerSignature Email

Apache/2.0.59 (Ubuntu) PHP/4.3.10 Server at 127.0.0.2 Port 80

Скрываем версию nginx

Для этого в файле nginx.conf перед client_max_body_size добавляем параметр server_tokens off;

Debian-путь: /etc/nginx/nginx.conf
FreeBSD-путь: /usr/local/etc/nginx/nginx.conf

Пример:

...
keepalive_timeout 30;
send_timeout 900;
server_tokens off;
server {
listen 80;
server_name _;
...

После этого нужно перезапустить nginx.

Заметка: варианты подключение бинарника php бывают следующих видов:

Как CGI

Action php-script /cgi-bin/php
AddHandler php-script .php

Как модуля Apache:

AddHandler application/x-httpd-php .php
AddType application/x-httpd-php .php

Делаем выполняемыми только файлы с расширением .php

Для этого в файле /usr/local/etc/apache22/httpd.conf замените значение для AddType application/x-httpd-php, например у Вас так:

AddType application/x-httpd-php .php .php3 .php4 .php5 .phtml

сделайте так:

AddType application/x-httpd-php .php

перезапустите Apache, готово.

Оцени публикацию:
  • 8,32
Оценили человек: 8

Похожие статьи:


Предложения и пожелания:
Ваше имя:
Ваш E-mail:
Сколько будет Οдин + Τри
Главная
X

Новые заметки:

Про что мы забываем когда делаем оценку задачи по времени

Список вопросов для собеседования разработчика по телефону

Symfony2 авторизация без Doctrine2 для чайника

Phpstorm7 LiveEdit

Жесткий хабр или не хабр, тогда кто?

Яндекс.Деньги мошенничество

Как узнать какие страницы в поиске яндекса или это секрет

Последние комменты:

Yapro CMS:

Здравствуйте, Гость | Войти | Регистрация | Карта сайта | RSS ленты | Ошибка в тексте? Выделите её мышкой и нажмите: Ctrl + Enter

youtube.com/watch?v=7hFivbgIEqk

При полном или частичном использовании материалов данного сайта, ссылка на сайт "yapro.ru" обязательна как на источник информации.
Автоматический импорт материалов и информации с сайта запрещен.
Copyrights © 2007 - 2018 YaPro.Ru

Главная » Веб-мастеру » Unix »