26 ноября 2019 в 15:05
2
Для того чтобы скрыть выдачу версии надо добавить в файл sudo nano /etc/apache2/apache2.conf строчки:
ServerSignature Off
ServerTokens Prod
ServerTokens Prod
мануал для других серверов и отключение версии php можно посмотреть по полному мануалу https://userman.ru/2019/01/24/kak-otkljuchit-otobrazhenie-versii-web-ser...
выдача версии пхп в php 7.3 в ubuntu 18.04 по умолчанию отключен.
Комментарии
А зачем?
по идее чтоб не облегчать им поиск уязвимостей.
На мой дилетантский взгляд - детский сад какой-то. Не лучше ли сосредоточиться на устранении уязвимостей?
в принципе да. надо на новое обновление отправлять администратору письмо. вообще сейчас обновления безопасности вроде ставятся автоматически но требуется перезагрузка.
Автоматичаская установка обновлений это довольно опасная штука, на самом-то деле, и стоит 10 раз подумать, прежде чем ей доверятся в продакшене.
для полноты добавлю. скрытие версии php делается в php.ini файле. надо изменить expose_php = On на expose_php = Off
Всё это будет абсолютно бесполезно, если в корне сайта лежит changelog.txt ?
Для безопасности друпала надо не одну статью писать. Или переводить. Также как и для безопасности сервера.
Нужно завести новый раздел документации Security through Obscurity.
Сокрытие чего либо подобного не улучшает безопасность. Это одна из фундаментальных иллюзий, кстати.
Мало того, версия вашего сервера/php и даже cms мало кого интересует, уязвимости почти всегда банально перебираются с последующей проверкой срабатывания по какому-то признаку, без какого-либо предварительного анализа.
Зачастую даже предварительного отбора по cms-то нет.
у меня судя по логам в основном ищут wordpress и phpmyadmin . но наверно есть и то что вы говорите. не все же в лог попадает.
Это вы ещё лог неудачных попыток подключения по ssh не видели.
угумс, там от логинов фигеешь, даже
harrypotter@server
просканировал свой сервер программой безопасности lynis и она посоветовала еще скрывать информацию выдаваемую почтовым сервером postfix. надо в файле /etc/postfix/main.cf установить параметр smtpd_banner в "$myhostname ESMTP".
Все дырки проверяются роботами хацкеров . Поэтому следую простым правилам вы защищены почти на 100%. Если атака целевая, то тут уже дело времени и опыта. И скрывая какая у вас система вы вообще ничего не добиваетесь. Это решается простой командой exec при возможности выполнить даже гостем.
1. Своевременно обновлять все и вся. Именно боты получают установки на новые дыры. Они и будут их тыкать в будущем.
2. Закрыть всех портов, кроме нужных
3. Настройка правильная этих портов.
4. Линукс это не Виндоус. Права это наше все. Они должны быть настроены везде правильно.
По друпал самые большие проблемы когда ломают сайты это не обновление ядра и модулей + настройка песочницы и прав.
Бонус. Для SSH не поскупитесь на VPN . Или если один юзаете то ключи.
PS не бывает систем которых нельзя взломать. Бывает мало денег)
в варнише можно любой заголовок задавить в ответе
apt install nginx
сложна, непонятна. переучиваться пока не охота.
на самом деле для апачи ServerSignature Off и ServerTokens Prod надо устанавливать в файле /etc/apache2/conf-enabled/security.conf