一般情况下,我们在使用一键脚本工具或者是宝塔面板搭建WEB环境的时候,PHP版本或者Nginx版本都是默认根据需要选择安装的。但是从安全角度看,我们有些时候是需要隐藏系统返回值的PHP和Nginx软件的版本号的,我们直接通过命令测试返回的软件版本是看不到的,我们是不是需要隐藏呢?
如果我们有需要隐藏的话可以参考下面办法隐藏。如果我们确保最新且安全版本,如果有不安全版本补丁要及时更新,也不需要隐藏。
1、隐藏PHP版本号
我们找到PHP当前的版本设置参数界面,然后找到 “expose_php”如果是OFF就不用管,如果是ON,改成OFF就可以隐藏返回值的PHP版本号。
2、Nginx隐藏版本号
目前最新版本的宝塔面板已经隐藏版本号的。如果我们有没有隐藏的可以检查Nginx配置文件中的server_tokens设置OFF即可。
http{
……省略
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;
server_tokens off;
access_log off;
……省略
}
大概类似这样。
设置之后,我们需要重启NGINX生效。
3、禁用函数设置
比如我们有在安装某些软件时候是需要特定函数的开放的,如果默认被禁止,我们需要先解除。
这里找到我们禁止的函数,然后删除即可。如果确保安全的,我们有些软件是要求安装后禁止某些函数的,我们可以根据需要添加进来。
这样,可以进一步确保服务器和WEB环境的安全。