[개발/보안] apache / php 버전정보 숨기는 방법

[개발/보안] apache / php 버전정보 숨기는 방법

 

 

리눅스에서 apm 세팅을 하여

 

php 와 아파치로 웹서비스를 구현하고 나면

 

웹 취약점을 점검해야 합니다.

 

가장 기본적으로 아파치와 php 버전 정보가 노출이 안되어야 합니다.

 

아래는 php 와 아파치의 설정 변경을 통해서

 

web 상에서 header 에 현재 돌아가고 있는 서비스 버전 정보 노출을 막는 방법입니다.

 

 

1. apache 버전 정보 숨기기

/etc/httpd/conf/httpd.conf

ServerTokens Prod

위 경로의 파일에 들어가서 최상단에 SerberTokens Prod 를 추가하고

 

service httpd restart 를 실행합니다.

 

 

2. php 버전 정보 숨기기

/etc/php.ini

expose_php = Off

 

아파치와 같은 방식으로 

 

/etc/php.ini 파일을 열고

 

expose_php 라는 내용을 검색하면 On 으로 설정이 되어있을 겁니다.

 

그걸 Off 로 변경 후 저장합니다.

 

그리고는 service httpd restart 를 실행하고 브라우저에서 확인합니다.

 

 

php 의 경우 위 방법대로 했는데도

 

버전 숨기는게 반영이 안되는 경우에는

 

service php-fpr restart 를 실행하고 다시 확인해 보시면

 

정상적으로 반영이 되어 있는걸 확인할 수 있습니다.

 

참고들 하세요!