标签:黑客 nginx版本号 显示nginx版本号 隐藏nginx版本号 巧妙绝情
可不可以不隐藏nginx版本号
原理和思路
实现步骤
测试
网上常用隐藏方法
在写文章前先申明,本文是原创,受一个同行启发,而想到的,一般我们在使用nginx时,为了减少漏洞,减少黑客针对有版本进行攻击,我们会去隐藏nginx版本号,将http请求响应头里的nginx版本号信息隐藏掉。从安全的角度来说,隐藏版本号会相对安全些!可是换个位思考,一定安全吗?可不可以不隐藏啊,我将它显示为其它的,显示为Apache/2.2.15,或者Lighttpd 1.4.36呢? 当然可以啊。
原理和思路
在nginx的源码包./nginx-1.8.0/src/core/nginx.h 中可以修改nginx的版本信息,修改它为我们想要的版本,再编译安装,最后为了保险点,我们在nginx.conf加入server_tokens on;(注意:默认是开的可以不加) 。
实现步骤
首先我们去官网下载最新的nignx版本,并解包。
[root@mfsmaster ~]# wget –Onginx-1.8.0.tar.gzhttp://nginx.org/download/nginx-1.8.0.tar.gz
[root@mfsmaster ~]# tar -zxvfnginx-1.8.0.tar.gz && cd ./nginx-1.8.0/src/core/
[root@mfsmaster core]# cpnginx.h nginx.h.bak
接下来我们修改 nginx.h,执行vim ./nginx.h
最后我们编译安装并启动nginx
[root@mfsmaster ~]#useradd -M -s /sbin/nologin nginx
[root@mfsmaster ~]# mkdir/usr/local/nginx
[root@mfsmaster ~]# cd./nginx-1.8.0
[root@mfsmaster ~]# ./configure--user=nginx --group=nginx --prefix=/usr/local/nginx --with-http_ssl_module--with-http_realip_module --with-http_gzip_static_module --with-http_stub_status_module
[root@mfsmaster ~]# make&& make install && /usr/local/nginx/sbin/nginx
[root@mfsmaster ~]# netstat-tlunp |grep 80
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 4575/nginx
至此,nginx显示版本安装成功。
测试
我总共装了两台nginx,一台是上面修改显示版本这台ip 10.0.8.1,一台是一般安装的.ip 10.0.8.2.
先来测试10.0.8.1
再来看一般安装的10.0.8.2
我们还可以用一些浏览器来测试,如firefox , 假如Firefox里的服务器信息也不是显示出nginx版本号,而是显示为Apache/2.2.15,说明我们显示版本号成功(其实这个工具也是利用curl 命令侦查的)
再看下一般安装的
网上常用隐藏方法
如果,你还是喜欢隐藏,你可以看下这编文章:
http://www.ha97.com/1095.html 彻底隐藏Nginx版本号的安全性与方法
http://www.cnblogs.com/buffer/p/3204763.html 隐藏nginx 版本号信息
申明“网上常用隐藏方法” 是我在网上找的,如有侵权,请告知,谢谢。
本文是巧妙绝情一个字一个图打出来,参考了好多资料,感谢他们的分享,基于open source分享精神,转载请注明出出。
本文出自 “巧妙绝情-李靖” 博客,请务必保留此出处http://qiaomiao.blog.51cto.com/484197/1684136
标签:黑客 nginx版本号 显示nginx版本号 隐藏nginx版本号 巧妙绝情
原文地址:http://qiaomiao.blog.51cto.com/484197/1684136
