apache_基本セキュリティ強化

JITAKU_SVR_Wiki

基本セキュリティの設定 †

基本的、と言っても環境によってはON、OFFのポリシーが違うので、
自分で守りたいと思った部分を記述。

環境はソースからprefix指定しインストールした状態のもので説明。
バージョンは「httpd-2.2.11.tar.gz」

基本的なセキュリティを設定するには、以下の2つの設定ファイルがhttpd.conf内でインクルードさせる必要がある。

• httpd-default.conf
  
• httpd-info.conf
  確認は、
  httpd.conf内で「Include」から始まる部分で以下のような形でincludeしてある。
  

  Include conf/extra/httpd-info.conf
  Include conf/extra/httpd-default.conf

  デフォルトではコメントされている可能性がある。
  

httpd.confの編集 †

指定されたディレクトリに対して、使用可能な機能を無効にする。 †

$ vi /home/$USER/apache2/conf/httpd.conf
httpd.confの以下のディレクティブ内のOptionsをNoneに設定する。

 <Directory />
 ==================省略==================
     Options FollowSymLinks
             ↓
     Options None
 ==================省略==================
 </Directory>
 

 <Directory "/home/$USER/apache2/htdocs">
 ==================省略==================
     Options Indexes FollowSymLinks
             ↓
     Options None
 ==================省略==================
 </Directory>

http://localhost/testにアクセスを行うとファイルリストが表示されてしまう。
Noneにすることで、アクセスされれてもファイルリストを非表示にすることが出来る。

TraceメソッドのOff †

TRACEメソッドが有効な環境ではクロスサイトトレーシングの手法を用いることで、Basic認証のパスワードを盗むことができるため、Offに設定する。
参考サイト：クロスサイトトレーシングとは

httpd.confを編集する。
$ vi /home/$USER/apache2/conf/httpd.conf

TraceEnable Off
#TraceEnableの記述がない場合に文末に追記する。

Onの場合
 $ telnet localhost 80 #apacheで使用しているポートを指定
 TRACE / HTTP/1.0
 Host: localhost:80
 
 HTTP/1.1 200 OK
 Date: Fri, 01 May 2009 08:06:47 GMT
 Server: Apache
 Connection: close
 Content-Type: message/http
 
 TRACE / HTTP/1.0
 Host: localhost:80

Offの場合
 $ telnet localhost 80 #apacheで使用しているポートを指定
 TRACE / HTTP/1.0
 Host: localhost:80
 
 HTTP/1.1 405 Method Not Allowed
 Date: Fri, 01 May 2009 08:01:17 GMT
 Server: Apache
 Allow:
 Content-Length: 223
 Connection: close
 Content-Type: text/html; charset=iso-8859-1

httpd-default.confの編集 †

HTTPレスポンスヘッダに含まれるサーバ情報を最小限にする。 †

httpd-default.confを編集する。
$ vi /home/$USER/apache2/conf/extra/httpd-default.conf

ServerTokens ProductOnly

サーバ情報の出力(フッタ行)を非表示にする。 †

httpd-default.confを編集する。
$ vi /home/$USER/apache2/conf/extra/httpd-default.conf

ServerSignature Off

フッタ行が非表示になる。

httpd-info.confの編集 †

Apacheの動作状況の監視 †

mod_statusモジュールを使用して、動作状況を監視する事ができる。

httpd-info.confを編集。
$ vi /home/$USER/apache2/conf/extra/httpd-info.conf
ファイル内容を以下のように編集する。

<Location /server-status>
    SetHandler server-status
    Order deny,allow
    Deny from all
    Allow from example.com  #ここを修正する
</Location>

# ExtendedStatus On   #コメントアウトされているのではずす

　　　　　　↓

<Location /server-status>
    SetHandler server-status
    Order deny,allow
    Deny from all
    Allow from localhost
    Allow from 192.168.0.0/24
</Location>
 
ExtendedStatus On

http://localhost/server-statusにアクセスする。

また、httpd-info.confの中にinfoの設定もあるので、ここも同じように変更する。

<Location /server-info>
    SetHandler server-info
    Order deny,allow
    Deny from all
    Allow from .example.com  #ここを修正する
</Location>

　　　　　　↓

<Location /server-info>
    SetHandler server-info
    Order deny,allow
    Deny from all
    Allow from localhost
    Allow from 192.168.22.0/24
</Location>

また、apacheのbusyの状態も見たいときは
http://localhost/server-status/?auto

その他 †

http://bakera.jp/glossary/Cross%20Site%20Tracing