配置生产和开发基础架构时。主要关注的应该是安全。您将来可能会面临严重的后果。您必须在多个方向申请安全。因此,如果您使用NGINX Web服务器运行应用程序,您应该将此安全提示应用于您的服务器。
检查不安全的HTTP头
检查您的服务器的http头,您将看到NGINX服务器的版本运行。黑客可以使用这些信息进行黑客攻击。
$ curl -I http://example.com
You can see that your server is running with NGINX 1.10.0 server.
HTTP/1.1 200 OK
Server: nginx/1.10.0 (Ubuntu)
Date: Wed, 26 Oct 2016 11:48:36 GMT
Content-Type: text/html
Content-Length: 11321
Last-Modified: Thu, 20 Oct 2016 05:30:08 GMT
Connection: keep-alive
ETag: "58649f60-2c39"
Accept-Ranges: bytes
隐藏Apache2版本
编辑NGIX配置文件并将
server_tokens变量值设置为
off,在http,服务器或位置部分中如下所示。
server_tokens off;
检查不安全的HTTP头
完成上述更改后,使用以下命令重新检查http标头值。
$ curl -I http://example.com
Now you can see that header is only showing that Apache is runnign, but no version or OS details available there.
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 26 Oct 2016 11:48:36 GMT
Content-Type: text/html
Content-Length: 11321
Last-Modified: Thu, 20 Oct 2016 05:30:08 GMT
Connection: keep-alive
ETag: "58649f60-2c39"
Accept-Ranges: bytes
