以前都會覺得系統資訊公佈沒關係。不過現在總覺得把這些公佈出來,是不是大辣辣的告訴了人家自己家裏哪邊可能比較脆弱?呵呵,也許是自己想太多,不過小心點總是比較好吧! 找了一下資料,最容易洩漏的大概就是 Apache 和 PHP,紀錄一下隱藏的方法。 Apache: 首先在 Apache 裡面,可以利用 ServerTokens 來隱藏。在 apache2.conf 裡面隨便一處加上,例如: ServerTokens Full 而這個可以設定的有:Full、OS、Min、Prod,效果範例如下: ServerTokens Full Apache/2.x (Debian GNU/Linux) PHP/5.x Server at yourdomain.com Port 80 ServerTokens OS Apache/2.x (Debian GNU/Linux) Server at yourdomain.com Port 80 ServerTokens Min Apache/2.x Server at yourdomain.com Port 80 ServerTokens Prod Apache Server at yourdomain.com Port 80 想當然,最好的設定值應該就是 ServerTokens Prod。 而其實更好的方式,是利用 ServerSignature 來設定,一樣設定在 apache2.conf 裡面就可以了。這個選項有 Off、On、Email,看字面應該可以知道效果,而要顯示 Off 還是 Email,我想就看個人怎麼想摟。 而在 Debian 的 Apache2 裡面,值是設定在 /etc/apache2/sites-available 的設定檔裡面,如果有多個站台不想一一設定,也可以把這段拿掉,改設定在 apache2.conf 裡面。 PHP: 而 PHP 的資訊,則可以在 php.ini 裡面,找到 expose_php 這個值,將他改為 Off 即可,這樣就看不到 PHP 資訊了,例如: ServerTokens Full + expose_php= Off Apache/2.x (Debian GNU/Linux) Server at yourdomain.com Port 80