2016年07月12日
Tweet
攻撃を受ける前に! Apache インストール後に必要な8つの変更点
上記のサイトのまんまですが・・。
Apacheを設定するときに、いくつかの常識的なセキュリティ設定があります。かつてのように cgi-bin とかは僕はいまいち賛同しかねるのですが、バージョン表示をOFFにしたり、Index表示を無効にしたりとか。そういうのは過去も現在も変わらずに設定しています。
・ welcome.conf の無効化
削除やリネームだと yum update で復活することがあるらしいので、すべてコメントアウトします。
・ icons フォルダを無効化
#Alias /icons/ "/var/www/icons/"
#
# Options Indexes MultiViews FollowSymLinks
# AllowOverride None
# Order allow,deny
# Allow from all
#
・ Index ページの非表示
#Options Indexes FollowSymLinks
Options none
※ http://localhost/ のようなアクセスのときにはページを表示させず、すべてFQDNを想定しています。そのため、Directory / やそれに準ずるルート部分の設定ではすべて無効にします。AllowOverride None も一緒に設定して問題無いと思われます。ただしその場合には、個別に公開するディレクトリに対してはAllowOverrideの設定を行わないと .htaccess が利用できません。
・ 各種情報表示を OFF
ServerTokens ProductOnly
ServerSignature Off
・ FileETag やヘッダーの設定
※ 2.2系で必要です。2.4系では改善されているようです。
FileETag MTime Size
・ヘッダーオプションの設定
Header always append X-Frame-Options SAMEORIGIN
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options nosniff
・TRACEメソッドの無効化
TraceEnable Off
参考
Apacheセキュリティ設定
上記のサイトのまんまですが・・。
Apacheを設定するときに、いくつかの常識的なセキュリティ設定があります。かつてのように cgi-bin とかは僕はいまいち賛同しかねるのですが、バージョン表示をOFFにしたり、Index表示を無効にしたりとか。そういうのは過去も現在も変わらずに設定しています。
・ welcome.conf の無効化
削除やリネームだと yum update で復活することがあるらしいので、すべてコメントアウトします。
・ icons フォルダを無効化
#Alias /icons/ "/var/www/icons/"
#
# Options Indexes MultiViews FollowSymLinks
# AllowOverride None
# Order allow,deny
# Allow from all
#
・ Index ページの非表示
#Options Indexes FollowSymLinks
Options none
※ http://localhost/ のようなアクセスのときにはページを表示させず、すべてFQDNを想定しています。そのため、Directory / やそれに準ずるルート部分の設定ではすべて無効にします。AllowOverride None も一緒に設定して問題無いと思われます。ただしその場合には、個別に公開するディレクトリに対してはAllowOverrideの設定を行わないと .htaccess が利用できません。
・ 各種情報表示を OFF
ServerTokens ProductOnly
ServerSignature Off
・ FileETag やヘッダーの設定
※ 2.2系で必要です。2.4系では改善されているようです。
FileETag MTime Size
・ヘッダーオプションの設定
Header always append X-Frame-Options SAMEORIGIN
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options nosniff
・TRACEメソッドの無効化
TraceEnable Off
参考
Apacheセキュリティ設定