隐藏 Nginx 版本号是基础安全加固动作,限制请求方法则需根据业务接口实际需求设定,避免影响正常功能。
先说结论:生产环境建议默认关闭版本号显示,请求方法限制必须经过业务测试,防止误杀正常接口。
- 先判断:确认业务是否依赖 PUT、DELETE 等非通用方法
- 优先做:在配置文件中关闭 server_tokens 并设定允许的方法(推荐 limit_except)
- 再验证:使用 curl 检查响应头并测试接口可用性
完整配置示例
以下配置片段可放入 server 或 location 块中,优先推荐 location 块。为了便于理解,这里提供一个包含隐藏版本号和限制方法的完整 server 块示例:
server {listen 80;server_name example.com;# 隐藏 Nginx 版本号server_tokens off;location / {# 限制只允许 GET、HEAD、POST 方法limit_except GET HEAD POST {deny all;}# 原有业务配置...proxy_pass http://backend;}
}相关指令文档:server_tokens | limit_except
limit_except 与 if 指令对比
虽然使用 if 指令也可以实现方法限制,但在 Nginx 社区中通常推荐优先使用 limit_except:
- limit_except:专为限制 HTTP 方法设计,性能更好,配置语义更清晰,建议在 location 块中使用。
- if 指令:在高并发或复杂逻辑下性能略低,且被称为 "if is evil",仅在无法使用 limit_except 的特殊场景下考虑。
如果仍需使用 if 指令,配置如下:
if ($request_method !~ ^(GET|HEAD|POST)$ ) {return 405;
}为什么会这样
Nginx 默认会在 HTTP 响应头 Server 字段和错误页面中显示版本号,攻击者可以利用特定版本的已知漏洞进行针对性攻击。限制请求方法是为了减少攻击面,例如许多漏洞利用需要 PUT 或 DELETE 权限,如果业务不需要这些方法,直接拒绝能降低风险。
公开资料中没有看到可靠的量化数据表明隐藏版本号能阻止多少攻击,但这属于安全加固的基础卫生措施,成本极低。
分步处理
1. 备份配置文件,通常位于 /etc/nginx/nginx.conf 或 /etc/nginx/conf.d/ 下的站点文件。
2. 编辑配置文件,在 http 块中添加 server_tokens off; 以全局生效,或在 server 块中单独设置。
3. 在 server 或 location 块中加入请求方法限制逻辑。如果业务涉及 API,请仔细核对文档确认需要的方法。
4. 执行 nginx -t 检查配置语法是否正确,避免写错导致服务无法启动。
5. 执行 nginx -s reload 重载配置,使更改生效。
怎么验证是否生效
1. 检查版本号是否隐藏,使用 curl -I 命令查看响应头:
curl -I http://你的域名观察 Server 字段,若配置生效,应只显示 nginx 而不带版本号,例如 Server: nginx。
2. 检查方法限制是否生效,尝试发送一个被禁止的方法请求:
curl -X PUT http://你的域名若配置生效,应返回 405 Not Allowed 状态码。
3. 验证正常业务不受影响,使用浏览器或客户端访问主要页面和接口,确保没有误拦截。
常见坑
- server_tokens off 仅隐藏版本号,不会隐藏 Server 字段本身,部分模块仍可能泄露信息。
- 使用 if 指令限制方法在高并发下性能略低于 limit_except,且配置不当可能引发意外行为,普通站点差异可忽略但建议优先使用 limit_except。
- 在 http 块中使用 if 限制请求方法可能无法按预期工作,建议在 server 或 location 块配置。
- 某些 RESTful API 强依赖 PUT 或 DELETE 方法,盲目限制会导致接口报错,需先与开发确认。
- 配置错误可能导致 Nginx 无法重载,务必先执行 nginx -t 测试。
原文链接:https://www.zjcp.cc/ask/11386.html