web 服务器安全防范

apache 关闭目录

配置文件：安装目录/Apache/conf/httpd.conf

<Directory />
    #默认就会把/ 的目录暴漏出来；关闭方法： Options -Indexes FollowSymLinks （-Indexes 表示相反）
    Options +Indexes +FollowSymLinks +ExecCGI
    # 或者
    # Options Indexes ----->把 Options的功能给关闭： Options None
    AllowOverride All
    Order allow,deny
    Allow from all
    Require all granted
</Directory>

apache 隐藏版本号

# 修改apache主配置文件 httpd.conf
# Various default settings
# Include conf/extra/httpd-default.conf  # 将前注释 # 去掉

# 修改 httpd-default.conf
ServerTokens Full 改成 ServerTokens Prod
ServerSignature On 改成 ServerSignature off

下面是ServerTokens 的一些可能的赋值：

ServerTokens Prod   显示 “Server: Apache” 
ServerTokens Major 显示  “Server: Apache/2″ 
ServerTokens Minor 显示 “Server: Apache/2.2″ 
ServerTokens Min    显示 “Server: Apache/2.2.17″ 
ServerTokens OS     显示  “Server: Apache/2.2.17 (Unix)” 
ServerTokens Full    显示  “Server: Apache/2.2.17 (Unix) PHP/5.3.5″

nginx 关闭目录

修改配置：/usr/local/nginx/conf/nginx.conf

autoindex on;  #默认管文件目录列表

#另外两个参数最好也加上去
autoindex_exact_size off;
# 默认为on，显示出文件的确切大小，单位是bytes。
# 改为off后，显示出文件的大概大小，单位是kB或者MB或者GB

autoindex_localtime on;
# 默认为off，显示的文件时间为GMT时间。
# 改为on后，显示的文件时间为文件的服务器时间

nginx 隐藏版本号

http {
　　sendfile on;
　　tcp_nopush on;
　　keepalive_timeout ;
　　tcp_nodelay on;
　　server_tokens off; # 添加最后一行
}

编辑php-fpm配置文件，如fastcgi.conf或fcgi.conf

# 找到下面这一行
fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;
# 修改为
fastcgi_param SERVER_SOFTWARE nginx;

php 隐藏版本号

配置文件php.ini

expose_php = On  # 改为Off，头信息中将隐藏 X-Powered-By:PHP/7.1.0