|
|
Közzétéve 2015. 06. 16. 23:16:37
|
|
|
|
Alapértelmezés szerint a Nginx a verziószámot jeleníti meg, például:
[root@bkjz ~]# göndörlök -www.nginx.org
HTTP/1.1 200 OK
Server: nginx/0.8.44
Date: Tue, 13 Jul 2010 14:05:11 GMT
Content-Type: textml
Content-Length: 8284
Last-Modified: Tue, 13 Jul 2010 12:00:13 GMT
Connection: keep-alive
Keep-Alive: timeout=15
Accept-Ranges: bytes
Ez azt mutatja, hogy a szervered nginx verziója 0.8.44, és néhány Nginx verziós sebezhetőség már régóta feltárult, vagyis néhány verzióban vannak sebezhetőségek, mások nem. Így a kitett verziószám könnyen olyan információvá válhat, amelyet a támadók kihasználhatnak. Ezért biztonsági szempontból a verziószám elrejtése viszonylag biztonságosabb lesz!
1. Add server_tokens a nginx konfigurációs fájlba;
server_tokens hatásköre http szerver locatio az n utasításblokk eltávolításához
server_tokens alapértelmezett érték be van kapcsolva, ami azt jelenti, hogy a verzió információi megjelennek, és a server_tokens érték ki van kapcsolva, így mindenhol el tudod rejteni az nginx verzió adatait.
2. Ha a fastcgi_param SERVER_SOFTWARE a php konfigurációs fájlban van beállítva, keresd meg ezt a sort, és módosítsd azt:
Szerkesztése a php-fpm konfigurációs fájlt, például fastcgi.conf vagy fcgi.conf (ez a konfigurációs fájlnév testreszabható is, a konkrét fájlnévtől függően):
Megtaláltam:
fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;
Átalakítva:
fastcgi_param SERVER_SOFTWARE nginx;
3. Indítsd újra a nginx-et, hogy újratöltsd a konfigurációs fájlt és fejezd be
|
Előző:A "Tear Káposzta" mágneses forráskódot és milliárdnyi adatbázist keresKövetkező:Zárd be a php X-Powered-By üzenetet
|
Háziúr|
Közzétéve 2015. 06. 16. 23:42:56
|
Közzétéve 2016. 01. 15. 14:32:11
|
