HTTP 응답에서 NGINX의 버전 정보를 숨겨보자

NGINX

왜 NGINX 정보를 숨겨야 할까?

웹서버의 정보와 버전이 명시되어 있다면 당연히 그 버전에 맞는 취약점을 찾아 공격을 시도할 것입니다.
이에 우리는 최소한 웹서버의 버전 정보라도 숨겨야 합니다.

취약점을 최대한 감추기 위해서요!

웹페이지에 접근 시 사용 중인 웹서버 정보를 확인할 수 있다.

 

1. NGINX 버전 정보 숨기기

가장 먼저 설치된 엔진엑스의 버전 정보를 숨기려 합니다.
엔진엑스뿐 아니라 대개의 웹서버는 설정값 하나를 넣어주면 되는 일이기 때문에 간단합니다.

http 블록 안에 server_tokens 옵션(default ON)을 off 설정해 주면 끝입니다.

vi /etc/nginx/nginx.conf

...

http {
    server_tokens	off;

    ...
    ..
}

2. 설정 확인하기

재기동 후 설정이 적용됐는지 확인합니다.

systemctl restart nginx

 

 

HTTP 응답에 NGINX의 버전이 사라진 것을 확인할 수 있다.

3. 마치며...

이번 시간에는 NGINX의 버전 정보를 숨겨 취약점 조치를 완료했습니다.
알아본 결과 응답에서 Server 헤더 자체를 삭제하는 것도 있긴 하지만 대기업들이 하지 않은 조치라 단순히 3rd-party를 이용한 조치라서 안 한 것인지 확인 후 조치할 필요성이 있을 것 같습니다.