Nginx è un server Web popolare che alimenta molti siti Web e applicazioni. Tuttavia, per impostazione predefinita, nginx rivela il suo numero di versione nelle intestazioni delle risposte HTTP e nelle pagine di errore. Questo può rappresentare un rischio per la sicurezza, poiché espone informazioni che possono essere utilizzate dagli aggressori per sfruttare le vulnerabilità del tuo server. In questo post ti mostreremo come nascondere al pubblico il numero di versione di nginx.
Esistono due metodi principali per eseguire questa operazione: utilizzare il file server_tokens
direttiva e utilizzando una pagina di errore personalizzata.
Metodo 1: nascondi la versione nginx con la direttiva server_tokens
La direttiva server_tokens controlla se nginx visualizza il numero di versione e il nome del sistema operativo nelle intestazioni di risposta HTTP e nelle pagine di errore. Per impostazione predefinita, è attivato, il che significa che nginx mostrerà sia il numero di versione che il nome del sistema operativo.
Ad esempio, potresti vedere qualcosa di simile nelle intestazioni delle risposte:
Server: nginx/1.18.0 (Ubuntu)
Per nascondere il numero di versione e il nome del sistema operativo, è possibile impostare il file server_tokens
direttiva su off nel file di configurazione nginx. Ad esempio, puoi aggiungere questa riga al blocco http in /etc/nginx/nginx.conf:
server_tokens off;
Ciò farà sì che nginx visualizzi solo il suo nome senza alcuna informazione aggiuntiva. Ad esempio, vedrai qualcosa di simile nelle intestazioni delle risposte:
Server: nginx
Per modificare, riavviare il servizio nginx.
Metodo 2: utilizzo di una pagina di errore personalizzata
Un altro modo per nascondere il numero di versione di nginx è utilizzare una pagina di errore personalizzata per gli errori HTTP comuni, come 404 o 500. Per impostazione predefinita, nginx mostrerà il numero di versione e il nome del sistema operativo nelle pagine di errore. Ad esempio, potresti vedere qualcosa di simile quando richiedi una pagina inesistente:
404 Not Found nginx/1.18.0 (Ubuntu)
Per sostituire la pagina di errore predefinita con la pagina personalizzata attiva. Puoi utilizzare la direttiva error_page nel file di configurazione nginx. Ad esempio, puoi aggiungere questa riga al blocco del server:
error_page 404 /404.html;
Ciò farà sì che nginx fornisca il file /404.html invece della pagina di errore predefinita quando si verifica un errore 404. Puoi creare la tua pagina di errore personalizzata con qualsiasi contenuto desideri, ad esempio un messaggio amichevole o un collegamento alla tua home page. Puoi anche utilizzare variabili come $status o $request_uri per visualizzare informazioni dinamiche.
Successivamente, riavvia il servizio nginx.
Conclusione
In questo post del blog, ti abbiamo mostrato come nascondere al pubblico il numero di versione di nginx utilizzando due metodi: utilizzando il server_tokens
direttiva e utilizzando una pagina di errore personalizzata. Nascondere il numero di versione di nginx può aiutare a migliorare la sicurezza del tuo server riducendo l’attacco. Superficie e prevenzione della fuga di informazioni. Ci auguriamo che tu abbia trovato questo post utile e informativo.
Lascia un commento