从Nginx源码出发-隐藏响应头的Server版本号等信息

最新推荐文章于 2024-07-24 21:08:20 发布
最新推荐文章于 2024-07-24 21:08:20 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 运维相关 开发工具 文章标签: nginx linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/who7708/article/details/113284466
版权

需求

当我们使用http/https请求时, nginx 会在请求的response里面的header加入Server: nginx:1.18 信息, 如果可以隐藏, 就不会被别人知道, 我用的是哪款web服务器, 或哪个版本.

例如

  • 新浪网:
    Server: nginx / Server: WeiBo/LB

  • 开源中国:
    Server:Tengine / server: marco/2.13

  • segmentfault
    没有返回Server!/ server: Tengine

修改 nginx 源码并编译

准备工作

  1. 下载 nginx 源码, 本文使用的是 nginx-1.18.0, 下载链接
  2. 下载 zlib 源码, 下载链接, 这个是与 gzip 压缩相关的
  3. 下载 pcre, 下载链接下载地址2, 这个是与url正则匹配相关的. 注意此处不能使用pcre2, 否则可能会报如下错误:
    在这里插入图片描述

解压

解压如下:
在这里插入图片描述

修改源码

主要修改两个部分

  1. 修改 src/core/nginx.h
    在这里插入图片描述
    NGINX_VER 修改你想要的.

  2. 修改 src/http/ngx_http_header_filter_module.c
    在这里插入图片描述
    ngx_http_server_string 修改掉, 如: "Server: nginx" CRLF 直接修改成 "Server: haha" CRLF 或者修改成 ngx_http_server_full_string 一致也可以, 这样就不会受配置文件里的 server_tokens off; 配置影响了.

  3. 修改 ./src/http/ngx_http_special_response.c
    此文件主要是404等错误页面时响应, 同样可以进行定制.
    在这里插入图片描述
    主要是将 ngx_http_error_tail 修改成自己想要的.或者修改成 ngx_http_error_full_tail 一致也可以. 这样就不会受配置文件里的 server_tokens off; 配置影响了.

配置并编译

./configure \
	--prefix=/opt/nginx \
	--with-http_ssl_module \
	--with-stream \
	--with-pcre=/root/dev/nginx/pcre-8.40 \
	--with-zlib=/root/dev/nginx/zlib-1.2.11

说明:

  1. --prefix 安装到哪个目录, 默认是安装到 /usr/local/nginx
  2. --with-http_ssl_module 支持 https, 要不然证书就无法使用. 影响与https相关的指令ssl_protocols,ssl_ciphers
  3. --with-pcre 指定 pcre 源码目录. 影响url正则相关
  4. --with-zlib 指定 zlib 源码目录. 影响gzip解压缩相关
  5. 其他配置可以参考./configure --help

为啥要加 zlib(与gzip压缩相关) 或 pcre(与正则相关), 本次系统使用的是ubuntu20.0, 必须要有, 否则报错:

  1. 没有 zlib 报错:
    在这里插入图片描述

  2. 没有pcre报错:
    在这里插入图片描述

  3. 加入之后运行配置检查, 没有报错, 则算是正常, 如下:
    在这里插入图片描述

  4. 开始 make 进行编译

可能会遇到的错误:
在这里插入图片描述
说明缺少 g++ 编译器相关的. 安装

sudo apt install g++

或直接安装 build-essential, 因为 build-essential 包含 g++

sudo apt install build-essential

如果出现
在这里插入图片描述

则安装一下openssl

apt-get install openssl libssl-dev

安装完成后, 断续编译 nginx, 编译的过程可能会比较慢, 等会结果如下, 没有报错, 则编译完成.
在这里插入图片描述
再执行安装

./make install

安装结束

启动

/opt/nginx/sbin/nginx

在页面中打开地址, 并查看响应头信息
在这里插入图片描述
server 标识已被修改.

定制的错误页面.
在这里插入图片描述

如果想要其他的效果, 完全可以修改源码进行定制.

who7708
关注
专栏目录
windows下nginx隐藏HTTP 请求文件中的Server信息
明平姚的博客
12-16 2080
windows下nginx隐藏HTTP 请求文件中
nginx隐藏版本号
Parhoia的博客
11-12 1857
配置Nginx隐藏版本号 在生产环境中,需要隐藏Nginx版本号,以避免安全漏洞的泄漏 查看方法 (1)使用fiddler工具在windows客户端查看Nginx版本号 (2)在CentOS系统中使用“curl -l 网址” 命令查看 Nginx隐藏版本号的方法 (1)、修改配置文件法 (2)、修改源码法 修改配置文件法 查看nginx系统版本号 [root@localhost ~]# curl...
nginx 隐藏版本号与WEB服务器信息的解决方法
09-30
主要介绍了nginx 隐藏版本号与WEB服务器信息的解决方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
nginx隐藏server版本号
最新发布
筱long的博客
07-24 546
为了提高nginx服务器的安全性,降低被攻击的风险,需要隐藏nginxserver版本号
nginx隐藏响应server信息版本号信息
苏不轼的博客
08-18 1万+
如果暴露了服务版本等详细信息,攻击者可以利用这些信息实现更有目的性的攻击,所以我们需要进行隐藏版本号信息
linuxnginx 平滑升级
weixin_50512016的博客
11-25 1236
1.下载nginx 源码包,下载地址:http://nginx.org 2.使用远程工具上传至相应的服务器(putty、xshell) 3.解压 示例:[root@shuaishuai ~]# tar -xf nginx-1.19.5.tar.gz 4.切换目录 示例:[root@shuaishuai ~]#cd nginx-1.19.5 5.查看之前nginx所安装的模块 示例:[root@shuaishuai nginx-1.19.5]# /usr/local/nginx/...
隐藏nginx响应中的server信息(HTTP服务器版本信息泄漏)
jugt的博客
06-04 1441
安全审计中有时会有漏洞名称 HTTP服务器版本信息泄漏 漏洞描述目标服务器返回的信息中包含了Web Server的软件或者版本信息。可以安装 nginx的headers-more-nginx-module模块修改或隐藏响应信息
Nginx隐藏响应信息Server信息和版本信息
热门推荐
Sirius的博客
05-01 1万+
1、隐藏nginx版本信息nginx.conf里面加server_tokens off;就可以隐藏版本号。2、隐藏server信息实现方案 : 需要重新编译nginx进入解压出来的nginx 源码 目录(不是nginx的安装目录) vi src/http/ngx_http_header_filter_module.c # 49-50行 编辑:内容: static char ngx_http_se
nginx/apache/php隐藏http部版本信息的实现方法
09-30
为了隐藏HTTP响应中的Nginx版本信息,你需要编辑该配置文件。在 `http{}` 块内添加或修改以下设置: ```conf http { ... server_tokens off; ... } ``` 这将关闭发送服务器版本信息的功能。此外,如果你也在...
Nginx隐藏服务器端各类信息的方法
09-30
主要介绍了Nginx隐藏服务器端各类信息的方法,包括隐藏HTTP信息和PHP版本号等等,需要的朋友可以参考下
Nginx服务优化(隐藏版本号)以及自定义404页面
weixin_44393420的博客
03-31 1440
*Nginx存在一些版本上的漏洞,露出来的版本号就容易变成攻击者可利用的信息。所以,从安全的角度来说,隐藏版本号会相对安全些! Nginx默认显示版本号: [root@localhost sbin]# curl -I localhost HTTP/1.1 200 OK Server: nginx/1.18.0 !!!!!!! Date: Wed, 31 Mar 2021 03:10:19 GMT Content-Type: text/html Content-Length: 612 Last-Mo
修改、隐藏nginx名称和版本号
u014433030的专栏
02-14 3120
1、隐藏版本号 隐藏版本号很简单,只要修改nginx.conf配置文件即可,在http模块中添加如下配置: server_tokens off; 2、修改server名称 正常的请求响应中会有如下的字段: Server: nginx/1.14.1 如果想修改这个名称需要修改nginx源码,然后重新编译, A、修改src/core/nginx.h文件...
Nginx 自定义添加Response Headers 修改server
diandu3502的博客
06-29 1532
之前说过如何隐藏Response Headers中X-Powered-By 修改php.ini expose_php = Off service php-fpm reload 隐藏Nginx版本号Server 修改nginx.conf, 在http{}添加 server_tokens off; Nginx自定义Response Header...
http请求隐藏server中的nginx版本信息
ssnnyyjj的博客
11-09 955
修复漏洞,将http请求中的"Servernginx"隐藏掉,需要用到headers-more-nginx-module模块。执行完上述命令再重启nginx,此时再请求响应中的server已变成自定义的了!第二步:下载nginx源码,这里需要下载和你使用的 nginx 同版本的原始码。第一步:nginx安装headers-more-nginx-module模块。第六步,使用模块,验证nginx http请求是否被隐藏。重启nginx时遇到了报错,配置项有问题,第八步,重启nginx
如何隐藏或修改Docker容器中的Nginx响应中的Server
JackieJia的博客
09-20 1780
现在大部分项目通过Nginx作为反向代理,实际由于安全审计要求需要隐藏或修改响应Server信息,传统的项目直接部署在nginx服务器中,只需要在nginx服务器安装ngx_http_headers_more_filter_module插件,然后通过修改nginx.conf文件配置即可,但是自从容器化时代来了之后,大部分项目都通过kubernetes或docker部署的,所以容器化的nginx如何修改对应的响应,下面进行详细的介绍。
Nginx隐藏响应信息Server信息和版本信息,隐藏tomcat版本号
xujing_2017的博客
01-21 1万+
https://gofinall.com/72.html   背景 当使用nginx做为web服务器时,在信息会看到版本号相关的信息,在安全扫描的时候会扫出来,要求不能显示nginx版本,避免根据已知的版本的nginx的特有漏洞从漏洞信息中获取该版本的攻击方式并进行攻击。 修改方法 nginx版本:1.14.2 隐藏nginx版本信息nginx.conf的http里面加serv...
Nginx隐藏版本号与缓存优化实践
另一种隐藏版本号的方法是修改Nginx源码,直接在`nginx.h`文件中重定义`NGINX_VERSION`或`NGINX_VER`等变量。但这需要对Nginx源代码有一定了解,并且重新编译安装。 同时,Nginx的网页缓存时间可以通过配置文件进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值