隐藏Nginx版本号

Posted 2020-10-15

隐藏nginx版本号

为什么要隐藏:

黑客攻击服务器的首要步骤就是收集信息，比如说你的软件版本，这些将成为下一步有针对性攻击的依据。所以说一定程度的隐藏这些信息就显得非常有必要了.简单来讲就是安全!!

暴露的版本号的地方主要有这两个地方有:

　　第一个是HTTP header，有个Server:nginx/1.x.x类似会暴露Web服务器所用软件名称以及版本号，这个也是大多数Web服务器最容易暴露版本号的地方，如下：

[[email protected] ~]# curl -I www.nginx.org

　　HTTP/1.1 200 OK

　　Server: nginx/0.8.44

　　Date: Tue, 13 Jul 2010 14:05:11 GMT

　　Content-Type: text/html

　　Content-Length: 8284

　　Last-Modified: Tue, 13 Jul 2010 12:00:13 GMT

　　Connection: keep-alive

　　Keep-Alive: timeout=15

　　Accept-Ranges: bytes

　　第二个地方是Nginx出错页面，比如404页面没有找到等，这是如果用户没有指定页面的话，那么Nginx自己的页面会有版本戳记。

# vim /usr/local/nginx/conf/nginx.conf

在 http {...} 里面

大约第32行左右加入

  server_tokens off;

# nginx -s reload

# curl -I 192.168.2.3

HTTP/1.1 200 OK

Server: nginx

Date: Thu, 09 Nov 2017 07:53:10 GMT

Content-Type: text/html

Content-Length: 612

Last-Modified: Thu, 09 Nov 2017 06:19:41 GMT

Connection: keep-alive

ETag: "5a03f37d-264"

Accept-Ranges: bytes

2、编辑php-fpm配置文件，如fastcgi.conf或fcgi.conf（这个配置文件名也可以自定义的，根据具体文件名修改）：

找到：

fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;

改为：

fastcgi_param SERVER_SOFTWARE nginx;

3、重新加载nginx配置