黑帽联盟

 找回密码
 会员注册
查看: 1388|回复: 0
打印 上一主题 下一主题

[系统安全] 隐藏nginx版本号-系统安全设置

[复制链接]

895

主题

38

听众

3323

积分

管理员

Rank: 9Rank: 9Rank: 9

  • TA的每日心情
    无聊
    6 天前
  • 签到天数: 1644 天

    [LV.Master]伴坛终老

    出于安全考虑,决定隐藏nginx的版本号。因为暴漏了版本号,也就相当于告诉了别人你的漏洞,别人可以通过这个版本所对应的漏洞利用程序来入侵你的后台。就像我知道你的操作系统内核版本为2.6.18或者我知道了你apache的版本号,我就可以利用对应的0day来进行攻击。所以说,隐藏版本号也是一种不错的安全防护措施。

    未隐藏版本号之前:

    代码如下:

    # curl --head www.nginx.org
    HTTP/1.1 200 OK
    Server: nginx/0.8.31
    Date: Wed, 13 Jan 2010 06:17:30 GMT
    Content-Type: text/html
    Content-Length: 2341
    Last-Modified: Mon, 11 Jan 2010 15:45:11 GMT
    Connection: keep-alive
    Keep-Alive: timeout=15
    Accept-Ranges: bytes

    这样一下子就给人家看到你的服务器nginx版本是0.8.31
    可以不显示不?
    当然可以

    代码如下:

    #vi nginx.conf
    在http 加上server_tokens off;
    http {
    ......省略配置
    sendfile on;
    tcp_nopush on;
    keepalive_timeout 65;
    tcp_nodelay on;
    server_tokens off bbs.cnblackhat.com;
    .......省略配置
    }

    编辑php-fpm配置文件 如fcgi.conf 、fastcgi.conf(要看你是什么配置文件名)
    fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;
    改为
    fastcgi_param SERVER_SOFTWARE nginx;
    nginx重新加载配置就完成了404 501等页面都不会显示nginx版本
    隐藏版本号后:

    代码如下:

    #curl --head 127.0.0.1
    HTTP/1.1 200 OK
    Server: nginx
    Date: Wed, 13 Jan 2010 06:25:01 GMT
    Content-Type: text/html
    Content-Length: 793
    Last-Modified: Sat, 12 Dec 2009 02:28:16 GMT
    Connection: keep-alive
    Accept-Ranges: bytes

    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    勿忘初心,方得始终!
    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部