Могу ли я скрыть всю информацию о сервере / ОС?

Я не хочу, чтобы кто-нибудь смог обнаружить, что я использую NGINX или даже Ubuntu из Интернета. Существуют инструменты (например, BuiltWith), которые сканируют серверы, чтобы определить, какие инструменты они используют. Кроме того, некоторые инструменты для взлома могут помочь с обнаружением. Что лучше / ближе всего к тому, что я могу скрыть всю эту информацию извне?

Вы можете остановить его вывод версии Nginx и ОС, добавив

server_tokens off;

к http, serverили locationконтекста.

Или, если вы хотите полностью удалить заголовок сервера, вам нужно скомпилировать Nginx с модулем Headers More, так как заголовок жестко запрограммирован в источнике Nginx, и этот модуль позволяет изменять любые заголовки http.

 more_clear_headers Server;

Тем не менее, существует множество скрытых способов, которыми серверы работают случайно при их реализации, которые могут помочь идентифицировать систему. Например, как он реагирует на неверный запрос SSL. Я не вижу практического способа предотвратить это.

Некоторые из вещей, которые я мог бы предложить:

• изменить шаблоны ошибок
• заблокировать все порты, кроме необходимых служб

Если вы установили nginx с помощью apt-get в Debian или Ubuntu, вам может потребоваться установить пакет nginx-extras, чтобы установить или очистить заголовок «Server»

Как только это будет сделано, вы можете добавить строки ниже в nginx.conf (обычно /etc/nginx/nginx.conf):

Чтобы полностью очистить заголовок «Сервер»:

more_clear_headers Server; 

Чтобы установить пользовательскую строку как «Сервер»

more_set_headers 'Server: some-string-here';

@ Мартин Ф. Да, это так. Вам нужно будет скомпилировать его из исходного кода и изменить то, что необходимо, перед компиляцией исходного кода.

Я предполагаю, что вы скачали последнюю стабильную версию, распаковали ее и знаете, где находятся файлы. Если это так, сделайте следующее:

nano src/http/ngx_http_header_filter_module.c

Затем найдите строку 48, если я правильно помню.

static char ngx_http_server_string[] = "Server: nginx" CRLF;

Замените nginx на MyWhwhatServerNameIWant, например

static char ngx_http_server_string[] = "Server: MyWhateverServerNameIWant" CRLF; 

затем

nano src/core/nginx.h 

искать линию

#define NGINX_VER          "nginx/" NGINX_VERSION

измените «nginx /» на «MyWhwhatServerNameIWant /», чтобы он читал

#define NGINX_VER          "MyWhateverServerNameIWant" NGINX_VERSION

Наконец, если вы хотите также изменить номер версии

ищите строку #define NGINX_VERSION "1.0.4"

и измените "1.0.4" для любой версии, которую вы хотите. Например, это будет читать

#define NGINX_VERSION      "5.5.5"

Надеюсь, это поможет. Тем не менее. Защита сервера выходит далеко за рамки не показывая, что работает. PHP по своей природе небезопасен, как и Linux. Конечно, Linux может быть довольно безопасным, если будут приняты все необходимые меры для достижения достойной безопасности. Что касается PHP, я бы рекомендовал использовать Suoshin, чтобы повысить безопасность вашего кода.

После долгих размышлений о том, как сделать пользовательский вариант nginx в Ubuntu, я понял, что для этого можно использовать модуль lua.

В Ubuntu 14.04, если вы устанавливаете nginx-extrasпакет, вы можете удалить заголовок сервера, используя:

header_filter_by_lua 'ngx.header["server"] = nil';

Добавьте это в блок http, и у каждого запроса будет отсутствовать Serverзаголовок.

Если это не работает, запустите, nginx -Vчтобы убедиться, что у вас есть модуль lua, скомпилированный в вашу копию nginx. Если нет, скорее всего, есть альтернативный пакет, который вы можете использовать для его получения.

Вместо header_filter_by_lua рекомендуется использовать новую директиву header_filter_by_lua_block, которая вставляет источник Lua непосредственно между фигурными скобками ( {}). При этом не нужно экранировать спецсимволы.

header_filter_by_lua_block { ngx.header["server"] = nil }

https://github.com/openresty/lua-nginx-module#header_filter_by_lua_block

Прежде всего: зачем использовать дополнительный модуль в качестве заголовков More Nginx? Только чтобы скрыть заголовок сервера. Если несколько строк, простой патч может достичь того же решения для вас.

Использование дополнительного модуля может привести к нестабильности (насколько хорошо он был протестирован с вашей средой? С другими вашими модулями и т. Д.) Или ненадежности (регулярно ли этот модуль обновляется с исправлениями ошибок и / или безопасности?)

Во-вторых. В ответе 279389 эта ветка описывает, как вы можете настроить код Nginx для изменения заголовка сервера. Проблема в том, что они забыли HTTP / 2. Короче, ничего не изменится. Заголовок сервера все еще будет виден.

Чем меньше, тем лучше. Хорошо, я признаю, я также долго искал хорошее решение. Но наконец нашел:

Патч удаления заголовка сервера Nginx

Я наконец-то избавился от этого надоедливого заголовка сервера Nginx.

Запустите эту функцию bash в папке с исходным кодом nginx. В версии nginx- $, а не в src /.

На основании этого ответа .

hidengxver () {
read -r -p "Your own http_server_string for safety: " http_server_string
first_string="static char ngx_http_server_string\[\] = \"Server: nginx\" CRLF;"
second_string="static char ngx_http_server_string\[\] = \"$http_server_string\" CRLF;"
sed -ire "s/$first_string/$second_string/g" src/http/ngx_http_header_filter_module.c

read -r -p "Your own NGINX_VER const: " nginx_ver
third_string="\#define NGINX\_VER          \"nginx\/\" NGINX\_VERSION"
forth_string="\#define NGINX\_VER          \"$nginx_ver\" NGINX\_VERSION"
sed -ire "s/$third_string/$forth_string/g" src/core/nginx.h

real_nginx_version=$( grep '#define NGINX_VERSION' src/core/nginx.h | gawk -F'"' '{print $2}' )
read -r -p "Your own NGINX_VERSION const: " new_nginx_version
fifth_string="\#define NGINX\_VERSION      \"$real_nginx_version\""
sixth_string="\#define NGINX\_VERSION      \"$new_nginx_version\""
sed -ire "s/$fifth_string/$sixth_string/g" src/core/nginx.h
}

Обратитесь к этой сути . Конечно, поможет вам.