Comment cacher le fait d'utiliser nginx sur le serveur

Une fois que j'ai lu un article où il était dit que vous pouvez cacher le fait d'utiliser nginx sur le serveur. Pour ce faire, vous devez éditer le code source du module ngx_http_header_filter_module et modifier les lignes.

  caractère statique ngx_http_server_string [] = "Serveur: nginx" CRLF;
 caractère statique ngx_http_server_full_string [] = "Serveur:" NGINX_VER CRLF; 

Mais pour reconstruire nginx à partir de la source, vous devez avoir certaines connaissances.

Cependant, il existe une méthode plus simple qui ne nécessite aucune action spéciale, telle que la modification des codes sources et la recompilation.

Pour ce faire, nous devrons installer le paquet nginx-extras à partir du référentiel Debian. Ce paquet contient le module HttpHeadersMore .

  # aptitude install nginx-extras 

Si vous avez déjà installé nginx-full, aptitude vous proposera de supprimer ce paquet, car il ne peut pas être utilisé avec des extras.

Après avoir installé le paquet, ouvrez le fichier /etc/nginx/nginx.conf et dans la section http, écrivez la ligne:

  more_set_headers "Serveur: Apache"; 

Et au même endroit, nous n’oublions pas d’indiquer ceci (juste au cas où, si vous ne l’aviez pas fait auparavant):

  serveur_tokens off; 

Et redémarrez Nginx. Au lieu d'Apache, vous pouvez remplacer quelque chose de votre choix. Ou déguiser en un autre serveur Web. Espace pour la fantaisie, en général. :)

En fait, la question est: pourquoi devrions-nous faire tout cela? En masquant nginx sous un autre serveur, nous compliquons le travail des pirates. Après tout, ils doivent comprendre sur quoi le site travaille pour savoir comment exploiter les vulnérabilités du serveur Web. En appelant le serveur différemment, nous donnons à l'attaquant une occasion unique de choisir une vulnérabilité infiniment longue, par exemple, pour IIS au lieu de nginx. :)

Comment évaluez-vous l'article?

(Pas encore de notes)

Chargement ...