Saltar al contenido principal.

Cómo ocultar el hecho de usar nginx en el servidor



Una vez leí un artículo donde se dijo que puede ocultar el hecho de usar nginx en el servidor. Para hacer esto, necesita editar el código fuente del módulo ngx_http_header_filter_module y cambiar las líneas

  static char ngx_http_server_string [] = "Server: nginx" CRLF;
 static char ngx_http_server_full_string [] = "Servidor:" NGINX_VER CRLF; 

Pero para reconstruir nginx desde la fuente, necesitas tener algún conocimiento.



Sin embargo, existe un método más simple que no requiere ninguna acción especial, como editar códigos fuente y recompilar.

Para hacer esto, necesitaremos instalar el paquete nginx-extras desde el repositorio de Debian. Este paquete contiene el módulo HttpHeadersMore .

  # aptitude instala nginx-extras 

Si ya tiene nginx-full instalado, aptitude ofrecerá eliminar este paquete, ya que no se puede usar con extras.



Después de instalar el paquete, abra el archivo /etc/nginx/nginx.conf y en la sección http escriba la línea:

  more_set_headers "Servidor: Apache"; 

Y en el mismo lugar, no nos olvidamos de indicar esto (por si acaso, si no lo has hecho antes):

  server_tokens apagado; 

Y reinicie nginx. En lugar de Apache, puedes sustituir algo propio. O disfrazarse de otro servidor web. Espacio para la fantasía, en general. :)



En realidad, la pregunta es: ¿por qué debemos hacer todo esto? Al enmascarar nginx bajo otro servidor, complicamos el trabajo de los hackers. Después de todo, necesitan entender en qué está trabajando el sitio para descubrir cómo explotar las vulnerabilidades del servidor web. Al llamar al servidor de manera diferente, le damos al atacante una oportunidad única para que elija una vulnerabilidad por un tiempo infinito, por ejemplo, para IIS en lugar de nginx. :)



¿Cómo calificas el artículo?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (No hay valoraciones aún)
Cargando ...

” 3 comentarios " Cómo ocultar el hecho de usar nginx en el servidor "

Añadir un comentario

Su correo electrónico no será publicado.