01 Jun 2015

Ocultar información de Nginx

Ocultar información de Nginx

Para evitar que desde alguno de nuestros sitios se publiquen las cabeceras que dan información sobre el sistema operativo, versión de apache y PHP que estamos trabajando, evitando que un ataque resulte más sencillo.

Para esto, hay que editar el archivo:

/etc/nginx/nginx.conf

editando o agregando los siguientes valores:

server_tokens off;
fastcgi_hide_header Server;
fastcgi_hide_header Pragma;
fastcgi_hide_header Expires;
fastcgi_hide_header Cache-Control;
fastcgi_hide_header Set-Cookie;
fastcgi_hide_header X-Powered-By;

La primera línea apaga el despliegue de información del webserver, mientras que el resto, si se tiene configurado cualquier servidor de scripts en modo CGI, oculta la información en cada uno de los programas.

Para ocultar la información de PHP, hay que editar ya sea

etc/php5/apache2/php.ini

o

etc/php5/fpm/php.ini

según el modo en que lo configuramos, agregando a la opción

disable_functions

los valores:

,system,show_source,phpinfo

y cambiando o agregando la siguiente información:

allow_url_fopen=Off
display_errors=Off
expose_php = Off

Artículos relacionados