Khi chúng ta gửi một gói tin HTTP Request lên Web Server, Server sẽ trả lại cho chúng ta một gói tin HTTP Response có chứa các thông tin mà chúng ta yêu cầu. Tuy nhiên trong gói tin HTTP Response này có chứa 1 số thông tin khác như là Web Server là gì? Hệ Điều Hành là gì?
Các thông tin này vô tình tiếp tay cho các Attacker biết được thông tin, để từ đó các Attacker có thể tìm các lỗi bảo mật, dựa trên nền tảng Web Server của chúng ta đang sử dụng và từ đó khai thác các lỗi bảo mật đó. Vì vậy việc ẩn các thông tin khi trả về HTTP Response sẽ giúp các bản giảm thiểu rủi ro về bảo mật Web
Ẩn các thông tin Web Server, Hệ điều hành trên Nginx
Sửa file config /etc/nginx/sites-available/default (VD trên Ubuntu) trong block server {}
Ẩn thông tin Hê điều hành và phiên bản Nginx
server_tokens off;
Trường hợp bạn muốn ẩn hoàn toàn thông tin Web Server là nginx đi thì đầu tiên chúng ta cần cài thêm gói nginx-extras
sudo apt -y install nginx-extras
Sau đó bổ sung config sau:
more_clear_headers Server;
Sau đó reload lại nginx
sudo systemctl reload nginx
Ẩn các thông tin Web Server, Hệ điều hành trên Apache
Trên apache chúng ta đơn giản hơn chỉ việc bổ sung 2 config sau:
ServerTokens Prod ServerSignature Off
Sau đó reload lại apache
# Ubuntu / Debian sudo systemctl reload apache2 # Centos / redhat / RHEL sudo systemctl reload httpd
Kết quả:
Nguồn vinasupport.com
![[Odoo] Ngăn chặn truy cập tới trang web/database](https://vinasupport.com/uploads/2023/03/Trang-Quan-Ly-Database-Odoo-300x250.png)
