月曜日, 3月 24, 2008

[Linux] nginxのServerヘッダとか

nginxのデフォルトなHTTPレスポンスヘッダには、"Server"ヘッダがバージョン付きで表示されているので、セキュリティホールになりかねない。

HTTP/1.1 200 OK
Server: nginx/0.5.35
・・以下略・・

これはしかし、ソースを変えなくともngx_http_headers_moduleのディレクティブ指定で消すことができる(正確には"nginix"とだけ出してバージョンを消す)。
server {
listen 8090;
server_tokens off;
server_name divershigh;

#charset koi8-r;
charset utf-8;
・・以下略・・

ちなみに、404ページでもデフォルト(404ページの指定無し)だとバージョンが表示されてしまうのでキチンと自分用のページを指定して置くことが必要。

0 コメント:

Twitter Updates

 
.