Skip to main content

Як схаваць факт выкарыстання nginx на сэрвэры



Аднойчы я прачытаў артыкул дзе гаворка ішла пра тое, што можна схаваць факт выкарыстання nginx на сэрвэры. Для гэтага патрабуецца адрэдагаваць зыходны код модуля ngx_http_header_filter_module і змяніць радкі

  static char ngx_http_server_string [] = "Server: nginx" CRLF;
 static char ngx_http_server_full_string [] = "Server:" NGINX_VER CRLF; 

Але каб перасабраць nginx з зыходнікаў, трэба валодаць некаторымі ведамі.



Аднак, існуе і больш просты метад, які не патрабуе наогул ніякіх асаблівых дзеянняў, тыпу рэдагавання зыходнікаў і перакампіляванні.

Для гэтага нам спатрэбіцца ўсталяваць пакет nginx-extras з рэпазітара Debian. Гэты пакет утрымлівае ў сабе модуль HttpHeadersMore .

  # Aptitude install nginx-extras 

Калі ў вас ужо быў усталяваны nginx-full, aptitude прапануе выдаліць гэты пакет, паколькі ён не можа выкарыстоўвацца сумесна з extras.



Пасля ўстаноўкі пакета, адкрываем файл /etc/nginx/nginx.conf і ў секцыі http прапісваем радок:

  more_set_headers "Server: Apache"; 

І там жа не забываем пазначыць гэта (на ўсялякі выпадак, калі не зрабілі раней):

  server_tokens off; 

І перазапускаем nginx. Замест Apache можна падставіць нешта сваё. Альбо замаскіраваць пад іншай вэб-сервер. Прастор для фантазіі, увогуле. :)



Уласна, пытанне: а навошта нам гэта ўсё рабіць? Маскіруючы nginx пад іншы сервер, мы усложняем хакерам працу. Бо ім трэба зразумець, на чым працуе сайт, каб высветліць, як можна выкарыстоўваць ўразлівасці вэб-сервера. Называючы сервер па-іншаму, мы даём зламысніку унікальную магчымасць бясконца доўга падбіраць ўразлівасць, напрыклад, да IIS замест nginx. :)



Як вы ацэніце артыкул?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (Пакуль адзнак няма)
Загрузка ...

” 3 Каментары "Як схаваць факт выкарыстання nginx на сэрвэры"

    1. У дадзеным выпадку гаворка ідзе пра загалоўках, аддаваных серверам. Можна праверыць у кансолі: -I Curl http://site.ru . Натуральна, старонкі памылак трэба ствараць свае.

Дадаць каментар

Ваш e-mail не будзе апублікаваны.