一般情况下,我们在使用一键脚本工具或者是宝塔面板搭建WEB环境的时候,PHP版本或者Nginx版本都是默认根据需要选择安装的。但是从安全角度看,我们有些时候是需要隐藏系统返回值的PHP和Nginx软件的版本号的,我们直接通过命令测试返回的软件版本是看不到的,我们是不是需要隐藏呢?
如果我们有需要隐藏的话可以参考下面办法隐藏。如果我们确保最新且安全版本,如果有不安全版本补丁要及时更新,也不需要隐藏。
1、隐藏PHP版本号
利用宝塔面板快速隐藏PHP、Nginx以及安全函数的开启关闭设置 - 第1张
我们找到PHP当前的版本设置参数界面,然后找到 "expose_php"如果是OFF就不用管,如果是ON,改成OFF就可以隐藏返回值的PHP版本号。
2、Nginx隐藏版本号
目前最新版本的宝塔面板已经隐藏版本号的。如果我们有没有隐藏的可以检查Nginx配置文件中的server_tokens设置OFF即可。
- http{
- ……省略
- limit_conn_zone $binary_remote_addr zone=perip:10m;
- limit_conn_zone $server_name zone=perserver:10m;
- server_tokens off;
- access_log off;
- ……省略
- }
大概类似这样。
设置之后,我们需要重启NGINX生效。
3、禁用函数设置
比如我们有在安装某些软件时候是需要特定函数的开放的,如果默认被禁止,我们需要先解除。
利用宝塔面板快速隐藏PHP、Nginx以及安全函数的开启关闭设置 - 第2张
这里找到我们禁止的函数,然后删除即可。如果确保安全的,我们有些软件是要求安装后禁止某些函数的,我们可以根据需要添加进来。
写在最后:
这样,可以进一步确保服务器和WEB环境的安全。
掘金网建议新手小白们不用太纠结有关技术层面的东西,这些技术自己如果实在无力拿下的话,完全可以付费来给你搞定的,掘金网目前就提供这样的付费技术支持服务《去付费》,花钱不多可以买个保障和安全,有需要的可以联系掘金网。
