Apache ja PHP info peitmine

Allikas: Pingviini viki

Paljudel juhtudel on hea varjata oma kasutatava Apache veebiserveri ja PHP programmeerimise keele versiooni. Seda selleks, et kräkkerid ei saaks kasutada mõnda spetsiaalset mõne versiooni turvaauku. Õigemini küll teha selle avastamine raskemaks.

Näiteks lihtne moodus, kuidas saab kogu Apache info kätte telneti kaudu:

telnet www.mingidomeen.com 80
Trying www.mingidomeen.com.com…
Connected to www.example.com.
Escape character is ‘^]’.
HEAD / HTTP/1.0 <- peale seda vajutage kaks korda ENTER
HTTP/1.1 200 OK
Date: Fri, 09 Jan 2007 18:18:26 GMT
Server: Apache/2.0.55 (Debian) PHP/5.1.2-1+b1 mod_ssl/2.0.55 OpenSSL/0.9.8b
Connection: close
Content-Type: text/html; charset=UTF-8
Connection closed by foreign host.

Nagu näete saate selle kaudu kätte kogu informatsiooni, mis tarkvara kasutusel on. Samas on seda üsna lihtne peita järgmiste moodustega.

=Apache informatsiooni peitmine

Selleks, et peita Apache informatsiooni lisage järgnevad kaks direktiivi Apache konfiguratsiooni faili (tavaliselt on asukoht /etc/apache2/apache2.conf kuid Debian/Ubuntu puhul ka /etc/apache2/conf.d/security) - kui vastavad valikud olemas siis eemaldage õige rea eest trellid ja mittevajalikele pange trellid ette (kasulikum on olemasolevale reale trellid ette panna ja vajadusel uus rida lisada kus trelle ees ei ole):

ServerTokens ProductOnly
ServerSignature Off

Veel tasub jälgida, et oleks määratud ka:

TraceEnable Off

Muidugi võiks määrata ka serveri nime, mis tavaliselt on määramata (asendada endale sobivaga):

ServerName www.nimi.ee

Nüüd tuleb restartida Apache (root kasutaja õigustes loomulikult)

/etc/init.d/apache2 restart

Debian/Ubuntu puhul:

sudo service apache2 restart

Nüüd näeb Apache info välja hoopis teistsugune

Server: Apache

... või ei näidata enam üldse midagi (Apache uuemad versioonid)

XAMPP Linux puhul asub see info failis /opt/lampp/etc/extra/httpd-default.conf

XAMPP Windows puhul asub see info failis \xampp\apache\conf\extra\httpd-default.conf

PHP versiooni peitmine

Selleks, et peita kasutusel oleva PHP versiooni peate muutma php.ini faili. Asukoht PHP4 puhul: /etc/php4/apache2/php.ini ja PHP5 puhul /etc/php5/apache2/php.ini Otsige üles järgmine rida

expose_php On

ja muutke see selliseks

expose_php Off

XAMPP Linux puhul asub see info failis /opt/lampp/etc/php.ini

XAMPP Windows puhul asub see info failis \xampp\apache\bin\php.ini


Nüüd tuleb taas restartida Apache järgmise käsuga (root kasutaja õigustes ikka)

#/etc/init.d/apache2 restart

Nüüd ei ole enam võimalik kätte saada, mis versiooni Apache veebiserverist või PHPst te kasutate.