Custom Search

JITAKU_SVR_Wiki



基本セキュリティの設定

基本的、と言っても環境によってはON、OFFのポリシーが違うので、
自分で守りたいと思った部分を記述。

環境はソースからprefix指定しインストールした状態のもので説明。
バージョンは「httpd-2.2.11.tar.gz」

基本的なセキュリティを設定するには、以下の2つの設定ファイルがhttpd.conf内でインクルードさせる必要がある。

  • httpd-default.conf
  • httpd-info.conf
    確認は、
    httpd.conf内で「Include」から始まる部分で以下のような形でincludeしてある。
    Include conf/extra/httpd-info.conf
    Include conf/extra/httpd-default.conf
    デフォルトではコメントされている可能性がある。

httpd.confの編集

指定されたディレクトリに対して、使用可能な機能を無効にする。

$ vi /home/$USER/apache2/conf/httpd.conf
httpd.confの以下のディレクティブ内のOptionsをNoneに設定する。

 <Directory />
 ==================省略==================
     Options FollowSymLinks
             ↓
     Options None
 ==================省略==================
 </Directory>
 

 <Directory "/home/$USER/apache2/htdocs">
 ==================省略==================
     Options Indexes FollowSymLinks
             ↓
     Options None
 ==================省略==================
 </Directory>

http://localhost/testにアクセスを行うとファイルリストが表示されてしまう。
Noneにすることで、アクセスされれてもファイルリストを非表示にすることが出来る。


TraceメソッドのOff

TRACEメソッドが有効な環境ではクロスサイトトレーシングの手法を用いることで、Basic認証のパスワードを盗むことができるため、Offに設定する。
参考サイト:クロスサイトトレーシングとは



httpd.confを編集する。
$ vi /home/$USER/apache2/conf/httpd.conf

TraceEnable Off
#TraceEnableの記述がない場合に文末に追記する。
Onの場合
 $ telnet localhost 80 #apacheで使用しているポートを指定
 TRACE / HTTP/1.0
 Host: localhost:80
 
 HTTP/1.1 200 OK
 Date: Fri, 01 May 2009 08:06:47 GMT
 Server: Apache
 Connection: close
 Content-Type: message/http
 
 TRACE / HTTP/1.0
 Host: localhost:80
Offの場合
 $ telnet localhost 80 #apacheで使用しているポートを指定
 TRACE / HTTP/1.0
 Host: localhost:80
 
 HTTP/1.1 405 Method Not Allowed
 Date: Fri, 01 May 2009 08:01:17 GMT
 Server: Apache
 Allow:
 Content-Length: 223
 Connection: close
 Content-Type: text/html; charset=iso-8859-1


httpd-default.confの編集

HTTPレスポンスヘッダに含まれるサーバ情報を最小限にする。

httpd-default.confを編集する。
$ vi /home/$USER/apache2/conf/extra/httpd-default.conf

ServerTokens ProductOnly


サーバ情報の出力(フッタ行)を非表示にする。

httpd-default.confを編集する。
$ vi /home/$USER/apache2/conf/extra/httpd-default.conf

ServerSignature Off

フッタ行が非表示になる。


httpd-info.confの編集

Apacheの動作状況の監視

mod_statusモジュールを使用して、動作状況を監視する事ができる。

httpd-info.confを編集。
$ vi /home/$USER/apache2/conf/extra/httpd-info.conf
ファイル内容を以下のように編集する。

<Location /server-status>
    SetHandler server-status
    Order deny,allow
    Deny from all
    Allow from example.com  #ここを修正する
</Location>

# ExtendedStatus On   #コメントアウトされているのではずす

      ↓

<Location /server-status>
    SetHandler server-status
    Order deny,allow
    Deny from all
    Allow from localhost
    Allow from 192.168.0.0/24
</Location>
 
ExtendedStatus On

http://localhost/server-statusにアクセスする。


また、httpd-info.confの中にinfoの設定もあるので、ここも同じように変更する。

<Location /server-info>
    SetHandler server-info
    Order deny,allow
    Deny from all
    Allow from .example.com  #ここを修正する
</Location>

      ↓

<Location /server-info>
    SetHandler server-info
    Order deny,allow
    Deny from all
    Allow from localhost
    Allow from 192.168.22.0/24
</Location>

また、apacheのbusyの状態も見たいときは
http://localhost/server-status/?auto

その他

http://bakera.jp/glossary/Cross%20Site%20Tracing


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2015-12-17 (木) 16:32:15 (707d)