এইচটিটিপি শিরোনামে কীভাবে পিএইচপি সংস্করণ নম্বর লুকান
পিএইচপি কনফিগারেশন, ডিফল্টরূপে সার্ভারে এইচটিটিপি রেসপন্স শিরোনাম ‘এক্স-পাওয়ার্ড বাই দ্বারা’ কোনও সার্ভারে ইনস্টল হওয়া পিএইচপি সংস্করণ প্রদর্শন করতে দেয়।
সার্ভার সুরক্ষার কারণে (যদিও এটি নিয়ে উদ্বেগের কোনও বড় হুমকি নয়), আপনি এইচটিএমএল চালাচ্ছেন কি না তা জানতে চাওয়ার মাধ্যমে আপনার সার্ভারকে টার্গেট করা হতে পারে এমন আক্রমণকারীদের কাছ থেকে এই তথ্যটি অক্ষম বা লুকিয়ে রাখার পরামর্শ দেওয়া হচ্ছে।
আপনার সার্ভারে ইনস্টল করা পিএইচপি-র একটি বিশেষ সংস্করণ সুরক্ষা গর্ত রয়েছে বলে ধরে নিচ্ছেন এবং অন্যদিকে আক্রমণকারীরা এটি জানতে পারে, তাদের পক্ষে দুর্বলতা কাজে লাগানো এবং স্ক্রিপ্টগুলির মাধ্যমে বিভাজনে প্রবেশাধিকার অর্জন করা আরও সহজ হয়ে যায়।
আমার পূর্ববর্তী নিবন্ধে, আমি দেখিয়েছি কীভাবে অ্যাপাচি সংস্করণ নম্বরটি লুকান, যেখানে আপনি দেখেছেন কীভাবে অ্যাপাচি ইনস্টল করা সংস্করণটি বন্ধ করতে হবে। তবে আপনি যদি আপনার অ্যাপাচি ওয়েব সার্ভারে পিএইচপি চালাচ্ছেন তবে আপনার পিএইচপি ইনস্টল হওয়া সংস্করণটিও আড়াল করা দরকার এবং আমরা এই নিবন্ধে এটি প্রদর্শন করব।
অতএব, এই পোস্টে আমরা কীভাবে সার্ভার HTTP রেসপন্স শিরোনামে পিএইচপি সংস্করণ নম্বরটি লুকিয়ে বা টার্ন অফ করব তা ব্যাখ্যা করব।
এই সেটিংটি লোড হওয়া পিএইচপি কনফিগারেশন ফাইলে কনফিগার করা যায়। আপনি যদি আপনার সার্ভারে এই কনফিগার ফাইলটির অবস্থান জানেন না তবে এটি সন্ধানের জন্য নীচের কমান্ডটি চালান:
$ php -i | grep "Loaded Configuration File"
---------------- On CentOS/RHEL/Fedora ---------------- Loaded Configuration File => /etc/php.ini ---------------- On Debian/Ubuntu/Linux Mint ---------------- Loaded Configuration File => /etc/php/7.0/cli/php.ini
পিএইচপি কনফিগারেশন ফাইলে কোনও পরিবর্তন করার আগে, আমি আপনাকে প্রথমে আপনার পিএইচপি কনফিগারেশন ফাইলটির ব্যাকআপ নেওয়ার পরামর্শ দিচ্ছি:
---------------- On CentOS/RHEL/Fedora ---------------- $ sudo cp /etc/php.ini /etc/php.ini.orig ---------------- On Debian/Ubuntu/Linux Mint ---------------- $ sudo cp /etc/php/7.0/cli/php.ini /etc/php/7.0/cli/php.ini.orig
তারপরে সুপার ব্যবহারকারী সুবিধাগুলি সহ আপনার প্রিয় সম্পাদক ব্যবহার করে ফাইলটি খুলুন:
---------------- On CentOS/RHEL/Fedora ---------------- $ sudo vi /etc/php.ini ---------------- On Debian/Ubuntu/Linux Mint ---------------- $ sudo vi /etc/php/7.0/cli/php.ini
Expose_php
কীওয়ার্ডটি সন্ধান করুন এবং এর মানটি অফ এ সেট করুন:
expose_php = off
ফাইল এবং সংরক্ষণ করে প্রস্থান করুন। এরপরে, ওয়েব সার্ভারটি নিম্নলিখিতভাবে পুনরায় চালু করুন:
---------------- On SystemD ---------------- $ sudo systemctl restart httpd $ sudo systemctl restart apache2 ---------------- On SysVInit ---------------- $ sudo service httpd restart $ sudo service apache2 restart
সর্বশেষে তবে সর্বনিম্ন নয়, সার্ভার HTTP প্রতিক্রিয়া শিরোনামটি নীচের কমান্ডটি ব্যবহার করে এখনও আপনার পিএইচপি সংস্করণ নম্বর দেখাচ্ছে কিনা তা পরীক্ষা করে দেখুন।
$ lynx -head -mime_header http://localhost OR $ lynx -head -mime_header http://server-address
যেখানে পতাকা:
-
- হেড
- মাইম শিরোনামগুলির জন্য একটি হেড অনুরোধ প্রেরণ করে -
- মাইম_হেডার
- একটি উত্পন্ন নথির MIME শিরোনামটি এর উত্স সহ একত্রে প্রিন্ট করে
দ্রষ্টব্য: আপনার সিস্টেমে আপনার লিংক - কমান্ড-লাইন ওয়েব ব্রাউজার ইনস্টল রয়েছে তা নিশ্চিত করুন।
এটাই! এই নিবন্ধে, আমরা ব্যাখ্যা করেছি যে কীভাবে কোনও ওয়েব সার্ভারকে সম্ভাব্য আক্রমণ থেকে সুরক্ষিত করার জন্য সার্ভার এইচটিটিপি রেসপন্স শিরোনামে পিএইচপি সংস্করণ নম্বরটি লুকানো যায়। আপনি এই পোস্টে একটি মতামত যুক্ত করতে পারেন বা নীচের মন্তব্য ফর্মের মাধ্যমে সম্পর্কিত কোনও প্রশ্ন জিজ্ঞাসা করতে পারেন।