在生產(chǎn)環(huán)境中,需要隱藏Nginx的版本號(hào),以避免安全
漏洞的泄漏
查看方法
●使用fiddler I具在Windows客戶(hù)端查看Nginx版本號(hào)
在CentOS系統(tǒng)中使用“curl -I 網(wǎng)址”命令查看
Nginx隱藏版本號(hào)的方法
●修改配置文件法
●修改源碼法
1.Nginx的配置文件中的server_ tokens 選項(xiàng)的值設(shè)置為off
[root@www conf]# vim nginx.conf
.....
server_ tokens off;
.....
[root@www conf]# nginx -t
2.重啟服務(wù),訪問(wèn)網(wǎng)站使用curl -I命令檢測(cè)
[root@www conf]# service nginx restart
[root@www conf]# curl -1 http://192.1 68.9.209/
HTTP/1.1200 OK
Server: nginx
3.若php配置文件中配置了fastcgi param SERVER SOFTWARE選項(xiàng)。則編輯php-fpm配置文件,將fastcgi param SERVER SOFTWARE對(duì)應(yīng)的值修改為
fastcgi_ param SERVER_ SOFTWARE nginx ;
Nginx源碼文件/usr/src/nginx-1.12.0/src/core/nginx.h包含了版本信息,可以隨意設(shè)置重新編譯安裝,隱藏版本信息
示例:
#define NGINX_ _VERSION“1.1.1” ,修改版本號(hào)為1.1.1
#define NGINX_ VER "IIS/" ,修改軟件類(lèi)型為IIS
重啟服務(wù),訪問(wèn)網(wǎng)站使用curl -I命令檢測(cè)
Nginx運(yùn)行時(shí)進(jìn)程需要有用戶(hù)與組的支持,以實(shí)現(xiàn)對(duì)網(wǎng)站文件讀取時(shí)進(jìn)行訪問(wèn)控制
Nginx默認(rèn)使用nobody用戶(hù)賬號(hào)與組賬號(hào),一般也要進(jìn)行修改
修改的方法
●編譯安裝時(shí)指定用戶(hù)與組
●修改配置文件指定用戶(hù)與組
1.新建用戶(hù)賬號(hào),如nginx
2.修改主配置文件user選項(xiàng),指定用戶(hù)賬號(hào)
3.重啟nginx服務(wù),使配置生效
4.使用ps aux命令查看nginx的進(jìn)程信息,驗(yàn)證運(yùn)行用戶(hù)
賬號(hào)改變效果
[root@www conf]# vi nginx.conf
user nginx nginx;
[root@www conf]# service nginx restart
[root@www conf]# ps aux lgrep nginx
root 1300340.0 0.0 20220 620? Ss 19:41 0:00 nginx: master process
/usr/local/sbin/nginx
nginx 1300350.0 0.0 20664 1512 ?S 19:41 0:00 nginx: worker process
當(dāng)Nginx將網(wǎng)頁(yè)數(shù)據(jù)返回給客戶(hù)端后,可設(shè)置緩存的時(shí)間,以方便在日后進(jìn)行相同內(nèi)容的請(qǐng)求時(shí)直接返回,避免重復(fù)請(qǐng)求,加快了訪問(wèn)速度般針對(duì)靜態(tài)網(wǎng)頁(yè)設(shè)置,對(duì)動(dòng)態(tài)網(wǎng)頁(yè)不設(shè)置緩存時(shí)間,可在Windows客戶(hù)端中使用fiddler查看網(wǎng)頁(yè)緩存時(shí)間
可修改配置文件,在http段、 或者server段、 或者location段加入對(duì)特定內(nèi)容的過(guò)期參數(shù)
修改Nginx的配置文件,在location段加入expires參數(shù)
location ~ \.(gifjpgliepglpnglbmplico)$ {
root html;
expires 1d;
第一步:遠(yuǎn)程獲取Windows上的源碼包,并掛載到Linux上
[root@localhost ~]# smbclient -L //192.168.235.1
Enter SAMBA\root's password:
Sharename Type Comment
--------- ---- -------
LNMP Disk
[root@localhost ~]# mkdir /abc
[root@localhost ~]# mount.cifs //192.168.235.1/LNMP /abc
Password for root@//192.168.235.1/LNMP:
[root@localhost ~]# ls /abc
Discuz_X3.4_SC_UTF8.zip nginx-1.12.2.tar.gz
game.jpg php-7.1.10.tar.bz2
mysql-boost-5.7.20.tar.gz php-7.1.20.tar.gz
nginx-1.12.0.tar.gz
第二步:解壓源碼包
[root@localhost ~]# cd /abc
[root@localhost abc]# tar zxvf nginx-1.12.0.tar.gz -C /opt
[root@localhost abc]# ls /opt
nginx-1.12.0 rh
第三步:下載安裝編譯組件包
[root@localhost abc]# cd /opt
[root@localhost opt]# yum install -y \
> gcc \ //C語(yǔ)言
> gcc-c++ \ //c++語(yǔ)言
> pcre-devel \ //pcre語(yǔ)言工具
> zlib-devel //壓縮函數(shù)庫(kù)
第四步:創(chuàng)建程序用戶(hù)并配置Nginx服務(wù)相關(guān)組件
[root@localhost opt]# useradd -M -s /sbin/nologin nginx
//創(chuàng)建程序用戶(hù)nginx,并限定其不可登錄終端
[root@localhost opt]# cd nginx-1.12.0/
[root@localhost nginx-1.12.0]# ./configure \
//配置nginx
> --prefix=/usr/local/nginx \
//指定安裝路徑
> --user=nginx \
//指定用戶(hù)名
> --group=nginx \
//指定用戶(hù)所屬組
> --with-http_stub_status_module
//安裝狀態(tài)統(tǒng)計(jì)模塊
第五步:編譯與安裝Nginx
[root@localhost nginx-1.12.0]# make && make install
第六步:優(yōu)化Nginx服務(wù)啟動(dòng)腳本,并建立命令軟連接
[root@localhost nginx-1.12.0]# ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/
//創(chuàng)建nginx服務(wù)命令軟鏈接到系統(tǒng)命令
[root@localhost nginx-1.12.0]# systemctl stop firewalld.service
//關(guān)閉防火墻
[root@localhost nginx-1.12.0]# setenforce 0
//關(guān)閉增強(qiáng)型安全功能
[root@localhost nginx-1.12.0]# nginx
//輸入nginx 開(kāi)啟服務(wù)
[root@localhost nginx-1.12.0]# netstat -ntap | grep 80 //查看服務(wù)的80 端口,顯示已開(kāi)啟
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 7520/nginx: master
第七步:systemctl管理nginx腳本
[root@localhost ~]# vim /lib/systemd/system/nginx.service ##創(chuàng)建配置文件
[Unit]
Description=nginx ##描述
After=network.target ##描述服務(wù)類(lèi)型
[Service]
Type=forking ##后臺(tái)運(yùn)行形式
PIDFile=/usr/local/nginx/logs/nginx.pid ##PID文件位置
ExecStart=/usr/local/nginx/sbin/nginx ##啟動(dòng)服務(wù)
ExecReload=/usr/bin/kill -s HUP $MAINPID ##根據(jù)PID重載配置
ExecStop=/usr/bin/kill -s QUIT $MAINPID ##根據(jù)PID終止進(jìn)程
PrivateTmp=true
[Install]
WantedBy=multi-user.target
[root@localhost ~]# chmod 754 /lib/systemd/system/nginx.service ##設(shè)置執(zhí)行權(quán)限
[root@localhost ~]# systemctl stop nginx.service ##關(guān)閉nginx
[root@localhost ~]# systemctl start nginx.service ##開(kāi)啟nginx
第一步:默認(rèn)情況下查看Nginx版本號(hào)
[root@localhost ~]# curl -I http://192.168.235.158 ##查看版本號(hào)
HTTP/1.1 200 OK
Server: nginx/1.12.0
##可見(jiàn)版本號(hào)為1.12.0
Date: Wed, 13 Nov 2019 08:32:59 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Wed, 06 Nov 2019 01:53:19 GMT
Connection: keep-alive
ETag: "5dc2278f-264"
Accept-Ranges: bytes
第二步:修改nginx.conf配置文件
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off;
##在http協(xié)議段落中加入server_ tokens選項(xiàng)的值設(shè)置為off即可
第三步:驗(yàn)證Nginx版本號(hào)隱藏
[root@localhost ~]# systemctl stop nginx.service
[root@localhost ~]# systemctl start nginx.service
[root@localhost ~]# curl -I http://192.168.235.158
HTTP/1.1 200 OK
Server: nginx
##可見(jiàn)版本號(hào)已被隱藏
Date: Wed, 13 Nov 2019 09:18:00 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Wed, 06 Nov 2019 01:53:19 GMT
Connection: keep-alive
ETag: "5dc2278f-264"
Accept-Ranges: bytes
第一步:修改nginx.conf配置文件
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
...
server_tokens on;
##將off替換成on
第二步:修改源碼文件nginx.h中的版本信息
[root@localhost ~]# vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1"
##更改版本信息為1.1.1
第三步:重新編譯Nginx
[root@localhost ~]# cd /opt/nginx-1.12.0/
[root@localhost nginx-1.12.0]# ./configure \
> --prefix=/usr/local/nginx \
> --user=nginx \
> --group=nginx \
> --with-http_stub_status_module
[root@localhost nginx-1.12.0]# make && make install
第四步:驗(yàn)證偽造的Nginx版本號(hào)
[root@localhost nginx-1.12.0]# curl -I http://192.168.235.158
HTTP/1.1 200 OK
Server: nginx/1.1.1
##可見(jiàn)版本號(hào)已成功更改為1.1.1
Date: Wed, 13 Nov 2019 10:20:23 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Wed, 06 Nov 2019 01:53:19 GMT
Connection: keep-alive
ETag: "5dc2278f-264"
Accept-Ranges: bytes
[root@localhost nginx-1.12.0]# ls /abc
Discuz_X3.4_SC_UTF8.zip nginx-1.12.2.tar.gz
game.jpg php-7.1.10.tar.bz2
mysql-boost-5.7.20.tar.gz php-7.1.20.tar.gz
nginx-1.12.0.tar.gz
[root@localhost nginx-1.12.0]# cp /abc/game.jpg /usr/local/nginx/html/
[root@localhost nginx-1.12.0]# cd /usr/local/nginx/html/
[root@localhost html]# ls
50x.html game.jpg index.html
[root@localhost html]# vim index.html
<h2>Welcome to nginx!</h2>
<img src="game.jpg"/>
##在h2標(biāo)簽下添加圖片路徑
[root@localhost html]# vim /usr/local/nginx/conf/nginx.conf
user nginx nginx;
##單獨(dú)輸入此行條目,指定用戶(hù)nginx,指定組nginx
location ~\.(gif|jepg|jpg|ico|bmp|png)$ {
root html;
expires 1d;
##上述圖片類(lèi)型圖片緩存一天
}
[root@localhost html]# systemctl stop nginx.service
[root@localhost html]# systemctl start nginx.service
在客戶(hù)機(jī)中安裝fiddler.exe抓包軟件,并打開(kāi)瀏覽器訪問(wèn)192.168.235.158網(wǎng)頁(yè)
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn,海內(nèi)外云服務(wù)器15元起步,三天無(wú)理由+7*72小時(shí)售后在線(xiàn),公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專(zhuān)為企業(yè)上云打造定制,能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。
網(wǎng)頁(yè)題目:Nginx優(yōu)化---隱藏版本號(hào)與網(wǎng)頁(yè)緩存時(shí)間-創(chuàng)新互聯(lián)
分享URL:http://m.rwnh.cn/article36/dsdpsg.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站收錄、外貿(mào)建站、定制開(kāi)發(fā)、建站公司
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話(huà):028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容