Nginxのバージョン番号のセキュリティと手法を完全に隠す

呉ルアンがグループに尋ねた · 掲載地 2015/06/16 23:16:37

デフォルトでは、Nginxは以下のようなバージョン番号を表示します。
[root@bkjz ~]# カール -アイ・www.nginx.org
HTTP/1.1 200 OK
Server: nginx/0.8.44
Date: Tue, 13 Jul 2010 14:05:11 GMT
Content-Type: textml
Content-Length: 8284
Last-Modified: Tue, 13 Jul 2010 12:00:13 GMT
Connection: keep-alive
Keep-Alive: timeout=15
Accept-Ranges: bytes
これは、あなたのサーバーのnginxバージョンが0.8.44であることを示しており、以前にNginxのバージョンの脆弱性が露呈していることを示しています。つまり、一部のバージョンには脆弱性があり、一部は存在しないということです。このようにして、露出したバージョン番号は攻撃者が悪用できる情報として容易に利用されます。したがって、セキュリティの観点からはバージョン番号を隠す方が比較的安全です!

セキュリティのため、HTTPリクエストレスポンスヘッダーにnginxのバージョン番号情報を隠したいです。

1. nginx設定ファイルにserver_tokensを追加;

server_tokensの範囲は、n文ブロックを削除するhttpサーバーロカティオです

デフォルトserver_tokensオンで、バージョン情報が表示され、server_tokensの値はオフなので、nginxのバージョン情報をどこにでも隠すことができます。

2. fastcgi_param SERVER_SOFTWAREがphp設定ファイルに設定されている場合、次の行を見つけて修正します:

php-fpmの設定ファイル(fastcgi.confやfcgi.confなど)を編集してください(この設定ファイル名はファイル名に応じてカスタマイズ可能です):

見つけました:
fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;
変更内容:
fastcgi_param SERVER_SOFTWARE nginx;

3. nginxを再起動して設定ファイルを読み込み、終了します

呉ルアンがグループに尋ねた · 掲載地 2015/06/16 23:42:56

修正が完了したら、ウェブマスターツール http://tool.chinaz.com/ を使ってテストできます

管理者 · 掲載地 2016/01/15 14:32:11

上記の方法には誤りがあり、それはnginxの設定ファイルを修正することです。
/nginx/conf/fastcgi_params

中に：

ログインが見えます。

nginx/$nginx_version fastcgi_param SERVER_SOFTWARE を見つけてください;

ただ修正すればいいのです!

管理者 · 掲載地 2016/01/15 14:44:16

1. Nginxのバージョン番号を非表示する
ステップ1:
vi /usr/localinx/confinx.conf
http{}
server_tokensいましょう。

クズども · 掲載地 2016/01/19 12:37:55

管理者 2016年1月15日 14:44 投稿
1. Nginxのバージョン番号を非表示する
ステップ1:
vi /usr/localinx/confinx.conf

正解です

クズども · 掲載地 2016/03/22 14:15:47

シャオ・ジャザ 2016年1月19日 12:37 投稿
正解です

それはnginxのconfの設定ファイルです nginx.conf

管理者 · 掲載地 2017/07/26 9:31:57

nginx.conf は正しくバージョンメソッドを隠しています

2006年韓新 · 掲載地 2017/10/18 14:00:13

まるで。。。。。。。。。。。。。。。。。のように

[ウェブ] Nginxのバージョン番号のセキュリティと手法を完全に隠す

関連記事

閲覧したセクション