[Nginx] 기본 보안 설정

Nginx 기본적인 보안 설정

Nginx 또는 Apach등의 웹서버와 php 등의 개발 언어에는 몇가지 보안관련 설정을 해주는것이 좋다. 주로 HTTP header에서 노출되는 정보값들의 노출 제한 관련된 내용이다.
그중에서 Nginx에 적용할 수 있는 몇가지 설정이다.

1. Nginx 버전 노출 제한

#nginx.conf
http{
 ...
 server_tokens off;
 ...
}

2. X-Powered-By, X-Pingback, X-Link 노출 제한
X-Powered-By은 어떠한 언어로 개발되어 있는지를 보여주는 header 값이다. (ex, X-Powered-By: PHP/5.4.0)
X-Pingback은 http 프로토콜에서 xml 데이터를 전송하기위해 사용되는데, 특별한 용도가 없다면 막아두는것이 좋다.
X-link도 xml 관련된 W3c 표준이긴한데, 특별한 용도가 없다면 막아두는것이 좋다.
(X-Pingback, X-link은 어떻게 쓰이는지 잘 모른다…)

#nginx.conf
http{
 ...
 fastcgi_hide_header X-Powered-By;
 fastcgi_hide_header X-Pingback;
 fastcgi_hide_header Link;

 proxy_hide_header X-Powered-By;
 proxy_hide_header X-Pingback;
 proxy_hide_header X-Link;
 ...
}

정상적으로 설정이 제한되었는지를 확인하기 위해서는 curl 또는 크롬의 개발자도구에서 확인할 수 있다.
curl -I http://사이트주소