Viele Webserver geben standardmäßig ihren Namen und ihre exakte Version preis. So auch nginx. Diese Angabe lässt sich jedoch minimieren.
Bei vielen Distributionen wird der Webserver nginx so ausgeliefert, dass er seinen vollen Namen und seine volle Version mit ausliefert. Dieser Information ist zum einen in den HTTP-Headern und zum anderen auf den Fehlerseiten zu finden.
Folgendes sind Beispiele für die Server Signatur:
- nginx/0.7.67
- nginx/1.0.11
- nginx/1.4.1
- nginx/1.4.3
- nginx/1.6.2
Diese Information lässt sich jedoch minimieren, indem in der Konfigurationsdatei(z.B.: /etc/nginx/nginx.conf) folgendes im Abschnitt "http", "server" oder "location" eingetragen wird.
server_tokens off;
Nach einem Neustart des Webservers enthält die Signatur nur noch den Namen und nicht mehr die komplette Version.
Eine weitere Möglichkeit die Server Signatur von den Fehlerseiten zu entfernen ist das Erstellen und Festlegen von eigenen Fehlerseiten. Mit folgender Option kann auf eine benutzerdefinierte Fehlerseite verwiesen werden.
error_page 404 /404.html;
Momentan scheint es leider mit Hilfe von Zusatzmodulen von Drittanbietern möglich zu sein, die Server Signatur aus den HTTP-Headern komplett zu entfernen.
Links
- Webseite: Ubuntu (englisch)
- Webseite: nginx (englisch)
- Dokumentation: nginx: server_tokens (englisch)
- Dokumentation: nginx: error_page (englisch)