通常情况下,黑客总是喜欢通过使用我们的网站支持(解析)服务器漏洞来进行恶意攻击并获取我们的网站信息,而第一步,则是获取我们网站服务器的版本,近而缩小漏洞搜索范围,而作为一个web运维工程师,第一步则是将这些东西隐藏掉,从而提供网站的安全系数,下面我门来说说如何在linux服务器下如何隐藏apache(httpd)服务器的版本号。
一、访问服务器查看我们的apache版本号
[root@localhost ~]# curl -I localhostHTTP/1.1 200 OKDate: Thu, 26 Apr 2019 16:16:16 GMTServer: Apache/2.4.32 (Unix) # 版本号Last-Modified: Mon, 11 Jun 2007 18:53:14 GMTETag: "2d-432a5e4a73a80"Accept-Ranges: bytesContent-Length: 45Content-Type: text/html
通过上面的信息,我们可以看到网站服务器“Apache”的版本号;
二、通过编辑apache配置文件来实现隐藏服务版本信息
[root@localhost ~]# find / -name "httpd.conf/usr/local/apache2/conf/original/httpd.conf/usr/local/apache2/conf/httpd.conf # 配置文件
[root@localhost ~]# vi /usr/local/apache2/conf/httpd.conf
# 编辑配置文件# 找到ServerTokens和ServerSignature并修改为:ServerTokens ProdServerSignature off# 如果没有找到ServerTokens和ServerSignature可以在最后一行添加# 保存并退
三、 重启apache服务器,再次访问服务器首页:
[root@localhost ~]# curl -I localhosHTTP/1.1 200 OKDate: Thu, 26 Apr 2019 16:39:31GMTServer: Apache # 没有版本号Last-Modified:Mon, 11 Jun 2007 18:53:14GMTETag: "2d-432a5e4a73a80"Accept-Ranges: bytesContent-Length: 45Content-Type: text/html 返回服务器404页面:
[root@localhost ~]# curl -I localhost/test.htmlHTTP/1.1 404Not FoundDate: Thu, 26 Apr 2019 16:43:28GMTServer: Apache # 这里不再显示版本号了Content-Type: text/html; charset=iso-8859-1
四、大功告成
重启Apache
[root@localhost ~]# service httpd restart
如果你有此类的问题需要帮助或者一起探讨学习,欢迎你加入到我们的"椰果笔记"技术交流qq群:686806140 里面来一起进行互动交流。
此外!你同样可以通过椰果笔记的论坛站(www.yeguobiji.com)和一群热爱技术的开源爱好者进行互动交流;
文章转载自椰果笔记,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
