かわたま.net

Enjoy Creative! かわたまのwebメモ

nginxでHTTPレスポンスにバージョンが表示されないようにする設定方法

2015 April 02

Tag:

かわたま、いままで先延ばしにしていたサーバーの勉強を本格的にしなくてはいけない状況に陥っています。。。
わからないことばかりで苦戦中です。

今回は、偶然通りかかった記事で気をつけないと!と思ったことをメモします。

『nginxでレスポンスヘッダーにバージョン番号を含めない』

nginx のバージョンは、他人にはわからないようにしておかないといけないんですね。
サーバー情報は、Chrome などでも簡単に確認することができますが、デフォルトだとバージョンまで表示されます。
バージョンが知られると、もし nginx の脆弱性が見つかった場合に標的にされてしまうこともあるとか。とっても簡単に非表示にできたのでさくっと設定しておきましょう。

HTTP レスポンスとは

HTTP ヘッダとは、その HTTP プロトコルのヘッダ情報のこと。ユーザエージェント(クライアント)とサーバとの通信でやり取りされるWEBリソースのメタ情報が含まれ・・・うーん難しい。とりあえず、様々な情報がわかるらしい。

レスポンスヘッダの確認方法

1, 確認したい webサイトを chrome で開く
2, 表示 / 開発・管理 / デベロッパーツール(macの場合は alt + ⌘ + i)を開く
3, Network のタブを押してページをリロード(⌘ + r)
4, 左側のドメインのタブを押すとレスポンスヘッダが確認できます。

今回確認するのは Server の部分。

nginx

デフォルトだと、こんなかんじで nginx のバージョンまで表示されています。

設定方法

$ sudo vim /etc/nginx/nginx.conf
server_tokens offのコメントアウトをとります。

http {
  ~
  # server_tokens off;
  ↓ コメントアウトをとる
  server_tokens off;
  ~

保存(:wq)して nginx を再起動
$ sudo service nginx restart

これでもう一度レスポンスヘッダを確認してみると

nginx

Server: nginx とだけ返すようになり、バージョンは表示されなくなりました。

まだまだ知らないことがたくさん。
お勉強頑張ります^O^