修复HTTP头信息泄露Nginx版本信息问题

Linux
修复HTTP头信息泄露Nginx版本信息问题-下一朵云

一、问题描述

最近项目系统处于安全防护阶段;相关维护人员会通过工具扫描指定项目系统所使用的软件,判断其是否存在某些不安全的漏洞。借此机会修复漏洞以至于使系统变的更加的安全,防止对系统用户以及系统方造成相关的损失。

一般来说,软件的漏洞都与版本信息有关,隐藏版本号或者修改web服务器所用的软件名称是为了防止恶意用户利用软件漏洞进行攻击。

二、修复步骤

1.修复方法分为两种:

(1)直接隐藏掉nginx的版本信息

(2)修改web服务器所使用的nginx的名称和版本信息

2.直接隐藏掉nginx的版本信息

[root@VM_0_12_centos conf]# vim nginx.conf
#添加内容
server_tokens off;
 浏览器控制台抓包可以看到:
 **Response Headers**
	Accept-Ranges: bytes
	Content-Length: 739
	Content-Type: text/html
	Date: Tue, 30 Jun 2020 07:53:36 GMT
	ETag: "5e9bc167-2e3"
	Last-Modified: Sun, 19 Apr 2020 03:11:35 GMT
	Server: nginx

3.修改web服务器所使用的nginx的名称和版本信息

(1)一共需要修改三个文件。包括:

    ·src/core目录下的nginx.h文件
    ·src/http目录下的ngx_http_header_filter_module.c文件
    ·src/http目录下的ngx_http_special_response.c文件

(2)修改内容如下:
 [root@VM_0_12_centos core]# vim nginx.h
 #define NGINX_VERSION      "0.0.1" 
 #define NGINX_VER          "ORCY" NGINX_VERSION
 
 [root@VM_0_12_centos http]# vim ngx_http_header_filter_module.c
 static u_char ngx_http_server_string[] = "Server: ORCY" CRLF;
 
 [root@VM_0_12_centos http]# vim ngx_http_special_response.c
 static u_char ngx_http_error_tail[] =
 "<hr><center>ORCY</center>" CRLF
 "</body>" CRLF
 "</html>" CRLF

 (3) 重新编译nginx并启动
     [root@VM_0_12_centos nginx]# ./configure --prefix=/usr/local/nginx
 	 [root@VM_0_12_centos nginx]# make && make install
 	 [root@VM_0_12_centos sbin]# kill -9 PID
 	 [root@VM_0_12_centos sbin]# ./nginx -c /usr/local/nginx/conf/nginx.conf  #重新加载配置文件并启动
-----
这里可以不覆盖安装,编译后替换nginx文件即可:
参考:https://www.orcy.net.cn/1393.html
-----
(4)浏览器控制台抓包可以看到:
  **Response Headers**
 	Accept-Ranges: bytes
 	Content-Length: 739
 	Content-Type: text/html
 	Date: Tue, 30 Jun 2020 07:53:36 GMT
 	ETag: "5e9bc167-2e3"
 	Last-Modified: Sun, 19 Apr 2020 03:11:35 GMT
 	Server: ORCY:0.0.1

三、总结

1.建议大家选择第二种方式,虽然修改的文件以及操作可能多了点,但是第二种相对于第一种更安全一些。

2.本人选择第二种:因为二者存在的差异在于按照第一种方式修改完成之后,在一些静态文件(html/css/js/png/…)的请求头中还会存在nginx相应的版本信息。