通过关闭expose_php配置项并重启Apache服务,可阻止PHP版本信息在HTTP响应头中泄露;2. 进一步移除X-Powered-By响应头需在Apache配置中启用mod_headers模块并添加Header unset指令;3. 改用PHP-FPM运行PHP应用,结合expose_php=Off设置,能更有效隐藏版本信息,提升Web服务器安全性。
如果您在部署Web服务器时发现PHP版本信息被公开暴露,攻击者可能利用该信息寻找已知漏洞进行攻击。通过调整PHP配置可以有效隐藏这一敏感信息,降低安全风险。
本文运行环境:Dell PowerEdge R750,Ubuntu 22.04
一、修改expose_php配置项
PHP的expose_php配置用于控制是否在HTTP响应头中输出X-Powered-By字段,该字段包含PHP版本信息。关闭此项可防止版本泄露。
1、打开php.ini配置文件,可通过命令sudo nano /etc/php/8.1/apache2/php.ini进行编辑。
2、查找expose_php配置项,若其值为On,则需修改为Off。
3、保存并关闭文件,重启Apache服务执行sudo systemctl restart apache2使更改生效。
二、移除HTTP头部中的X-Powered-By字段
即使expose_php已关闭,某些服务器或中间件仍可能添加X-Powered-By头。需手动清除该响应头以确保彻底隐藏。
1、对于Apache服务器,在虚拟主机配置或.htaccess文件中添加指令Header unset X-Powered-By。
2、启
用mod_headers模块以支持Header指令,使用命令a2enmod headers开启。
3、修改完成后重启Apache服务,再次检查响应头是否仍包含该字段。
三、使用FastCGI方式运行PHP
采用PHP-FPM配合Web服务器运行PHP应用,能更精细地控制环境输出,减少不必要的信息暴露。
1、安装PHP-FPM服务,执行sudo apt install php8.1-fpm完成安装。
2、配置Nginx或Apache将PHP请求转发至FPM进程处理。
3、确保php.ini中expose_php = Off,并通过FPM机制运行脚本,进一步隔离版本信息输出。
