Menü Schließen

Nginx – Webserver Version verschleiern

Nginx Logo

Nginx ist einer der meistverbreitesten Webserver, neben Apache und Microsoft IIS im Internet. Der Nginx Webserver zeigt per Default seine Version an. Dies z.B. im Fehlerfall aber auch wenn man den HTTP Header ausliest. Aus Sicherheitsgründen sollte man diese nicht direkt anzeigen, da Angreifer so gezielt nach bekannten Lücken und Angriffsmethoden suchen können und nutzen.

Nginx 502 Bad Gateway Error
Nginx 502 Bad Gateway Error

Abfrage einer Webseite mit Anzeige des verwendeten Webserver und hier speziell die Version:

# curl --head <web-url.tld>
HTTP/1.1 200 OK
Server: nginx/1.18.0
Date: Sat, 29 Apr 2023 12:44:23 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Fri, 28 Apr 2023 18:02:03 GMT
Connection: keep-alive
ETag: "644c0a1b-264"
Accept-Ranges: bytes

Nginx Version verbergen

Änderung erfolgt in der Nginx Config. Hier die Option „server_tokens off;“ auskommentieren, oder eintragen.

http {

        ##
        # Basic Settings
        ##

        sendfile on;
        tcp_nopush on;
        types_hash_max_size 2048;
        #server_tokens off;

Ein erneuter Test zeigt die Version nicht mehr an.

# curl --head <web-url.tld>
HTTP/1.1 200 OK
Server: nginx
Date: Sat, 29 Apr 2023 20:00:39 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Fri, 28 Apr 2023 18:02:03 GMT
Connection: keep-alive
ETag: "644c0a1b-264"
Accept-Ranges: bytes
Nginx 502 Bad Gateway ohne Version
Nginx 502 Bad Gateway ohne Version

Ein service nginx reload brauch nicht gemacht werden, die Konfig wirkt sofort.

Thats it … Have Fun!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert