架构师_程序员_码农网

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9178|回复: 7

[Web] 彻底隐藏Nginx版本号的安全性与方法

[复制链接]
发表于 2015-6-16 23:16:37 | 显示全部楼层 |阅读模式
Nginx默认是显示版本号的,如:
[root@bkjz ~]# curl -I www.nginx.org
HTTP/1.1 200 OK
Server: nginx/0.8.44
Date: Tue, 13 Jul 2010 14:05:11 GMT
Content-Type: textml
Content-Length: 8284
Last-Modified: Tue, 13 Jul 2010 12:00:13 GMT
Connection: keep-alive
Keep-Alive: timeout=15
Accept-Ranges: bytes
这样就给人家看到你的服务器nginx版本是0.8.44,前些时间暴出了一些Nginx版本漏洞,就是说有些版本有漏洞,而有些版本没有。这样暴露出来的版本号就容易变成攻击者可利用的信息。所以,从安全的角度来说,隐藏版本号会相对安全些!
为了安全,想将http请求响应头里的nginx版本号信息隐藏掉:

1. nginx配置文件里增加 server_tokens off;

server_tokens作用域是http server locatio去掉n语句块

server_tokens默认值是on,表示显示版本信息,设置server_tokens值是off,就可以在所有地方隐藏nginx的版本信息。



2.  如果php配置文件里设置了fastcgi_param SERVER_SOFTWARE,则找到这一行修改一下:

编辑php-fpm配置文件,如fastcgi.conf或fcgi.conf(这个配置文件名也可以自定义的,根据具体文件名修改):

找到:
fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;
改为:
fastcgi_param SERVER_SOFTWARE nginx;

3. 重启nginx 重新加载配置文件,结束






上一篇:"手撕包菜" 磁力搜索源代码以及几十亿数据库
下一篇:关闭 php X-Powered-By 信息
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
 楼主| 发表于 2015-6-16 23:42:56 | 显示全部楼层
修改完成后,可以用站长工具  http://tool.chinaz.com/  进行检测一下
QQ截图20150616234414.jpg
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
发表于 2016-1-15 14:32:11 | 显示全部楼层
上面方法有错误,是修改nginx的配置文件:
/nginx/conf/fastcgi_params

里面的:



找到fastcgi_param  SERVER_SOFTWARE    nginx/$nginx_version;

修改即可!
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
发表于 2016-1-15 14:44:16 | 显示全部楼层
QQ截图20160115144250.jpg

一、隐藏Nginx版本号
第一步:
vi /usr/localinx/confinx.conf
在http{}中加入
server_tokens off;

码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
发表于 2016-1-19 12:37:55 | 显示全部楼层
admin 发表于 2016-1-15 14:44
一、隐藏Nginx版本号
第一步:
vi /usr/localinx/confinx.conf

正解
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
发表于 2016-3-22 14:15:47 | 显示全部楼层

是nginx里面的conf的nginx.conf配置文件
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
发表于 2017-7-26 09:31:57 | 显示全部楼层
QQ截图20170726093112.jpg

nginx.conf 正确隐藏版本方法
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
发表于 2017-10-18 14:00:13 | 显示全部楼层
赞一个。。。。。。。。。。。。。。。。。
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

免责声明:
码农网所发布的一切软件、编程资料或者文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:help@itsvse.com

QQ|手机版|小黑屋|架构师 ( 鲁ICP备14021824号-2 )|网站地图

GMT+8, 2024-3-28 22:59

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表