隱藏系統資訊

| 九月 10, 2006 | 2個迴響| 沒有引用| 1183 reads | Size: L, M, S | Edit: P, C, R |
| Category: Server. |

    以前都會覺得系統資訊公佈沒關係。不過現在總覺得把這些公佈出來,是不是大辣辣的告訴了人家自己家裏哪邊可能比較脆弱?呵呵,也許是自己想太多,不過小心點總是比較好吧! 

    找了一下資料,最容易洩漏的大概就是 Apache 和 PHP,紀錄一下隱藏發的方法。

    Apache:

    首先在 Apache 裡面,可以利用 ServerTokens 來隱藏。在 apache2.conf 裡面隨便一處加上,例如:

    ServerTokens  Full

    而這個可以設定的有:Full、OS、Min、Prod,效果範例如下:

    ServerTokens Full
    Apache/2.x (Debian GNU/Linux) PHP/5.x Server at yourdomain.com Port 80

    ServerTokens OS
    Apache/2.x (Debian GNU/Linux) Server at yourdomain.com Port 80

    ServerTokens Min
    Apache/2.x Server at yourdomain.com Port 80

    ServerTokens Prod
    Apache Server at yourdomain.com Port 80

    想當然,最好的設定值應該就是 ServerTokens Prod

     

    而其實更好的方式,是利用 ServerSignature 來設定,一樣設定在 apache2.conf 裡面就可以了。這個選項有 Off、On、Email,看字面應該可以知道效果,而要顯示 Off 還是 Email,我想就看個人怎麼想摟。

    而在 Debian 的 Apache2 裡面,值是設定在 /etc/apache2/sites-available 的設定檔裡面,如果有多個站台不想一一設定,也可以把這段拿掉,改設定在 apache2.conf 裡面。

     

    PHP:

    而 PHP 的資訊,則可以在 php.ini 裡面,找到 expose_php 這個值,將他改為 Off 即可,這樣就看不到 PHP 資訊了,例如:

    ServerTokens Full + expose_php= Off
    Apache/2.x (Debian GNU/Linux) Server at yourdomain.com Port 80

     

    這樣就可以隱藏大部分的資訊了,雖然我太嫩,真的不知道有沒有幫助,不過小心點總是好。紀錄一下。


« MySQL 升級後續 - 亂碼、編碼問題
[Debian] 升級 PHP5、MySQL5 »


推薦文章 : +Del.icio.us | +HEMiDEMi | +FunP | +My Share | +Twitio.us | +TwitThat

Leave A Comment:













   


2 迴響 of "隱藏系統資訊"

carloschenRe:隱藏系統資訊 By carloschen @ 2006 九月 28, 20:00 :

這些設定在apache2.x以上才有,1.3.X會找不到,記得之前好像設了也沒用,忘了...
在netcraft查一些資訊時,有些人明明是用freebsd,結果他的webserver是iis XD
主要是他在安裝apache時作了一些設定...

ajer001Re:隱藏系統資訊 By ajer001 @ 2006 九月 28, 22:48 :

ServerTokens 我不太確定,但是 ServerSignature 在1.3就有了!
可以混淆喔?哈,真有趣,改天來查查看資料。