[nginx] X-Powered-By로 드러나는 웹 서버 프로그램 정보 감추기

  웹 문서의 머리글(헤더) 정보에서 X-Powered-By 항목을 통하여 웹 서버에서 쓰는 프로그램 엔진 정보가 드러날 수 있다.

X-Powered-By: PHP/7.4.33

X-Powered-By: Express

  해커가 웹 서버의 취약점을 빨리 알아내는 데에 이런 정보가 도움이 될 수 있다. 아래에 적은 방법들 가운데 하나만으로도 X-Powered-By로 드러나는 서버 정보를 감출 수 있다.

(1) php.ini

; Decides whether PHP may expose the fact that it is installed on the server
; (e.g. by adding its signature to the Web server header).  It is no security
; threat in any way, but it makes it possible to determine whether you use PHP
; on your server or not.
; https://php.net/expose-php
expose_php = On

  php.ini의 expose_php 값을 On에서 Off로 바꾼다.

expose_php = Off

  그리고 나서 php 엔진을 다시 시작한다.
(RHEL/Centos 7 이상에서 php-fpm을 쓴다면 'sudo systemctl restart php-fpm')

(2) nginx.conf

  FastCGI 서버를 쓴다면, nginx.conf에서 fastcgi_hide_header로 X-Powered-By를 감출 수 있다. 또는 FastCGI 서버를 쓰는 것과 관계 없이 proxy_hide_header를 넣어 X-Powered-By를 감출 수 있다.

http {
... fastcgi_hide_header X-Powered-By;
proxy_hide_header X-Powered-By;
...
}

  위 내용을 넣고 나서 nginx 엔진를 다시 시작한다.
(RHEL/Centos 7 이상에서는 'sudo systemctl restart nginx')

글 걸기 주소 : 이 글에는 글을 걸 수 없습니다.

덧글을 달아 주세요