Apache セキュリティー設定 1

NO IMAGE

ディストリビューション : CentOS7

アプリケーション : Apache2.4(IUS)

 

セキュリティー診断ツールによる最低限の設定を記載する。

 

ICONSフォルダを無効

mv /etc/httpd/conf.d/autoindex.conf /etc/httpd/conf.d/autoindex

・デフォルトコンテンツ(welcome)もアイコン(icons)も使うことはないので実運用では不要

welcomeページを無効

mv /etc/httpd/conf.d/welcome.conf /etc/httpd/conf.d/welcome

・Apacheのインストール完了時の確認画面なので実運用では不要。

userdirを無効

mv /etc/httpd/conf.d/userdir.conf /etc/httpd/conf.d/userdir

・ひとつのドメインでアカウント毎のホームページ公開するために利用していた、最近は実運用で見かけることはほぼないので不要。

 

/etc/httpd/conf.d/security.confの新規作成

ServerTokens ProductOnly
ServerSignature off
Header always append X-Frame-Options SAMEORIGIN
TraceEnable Off
FileETag None
Header unset ETag
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options nosniff
ServerTokens サーバの詳細情報を非表示
ServerSignature バージョン情報を非表示
Header always append X-Frame-Options SAMEORIGIN Clickjacking対策
TraceEnable Trace メソッドを無効
FileETag None エンティティタグを削除
Header unset ETag 同上
Header always set X-XSS-Protection “1; mode=block” XSS対策
Header always set X-Content-Type-Options nosniff Sniffing対策

/etc/httpd/conf/httpd.conf

<Directory "/var/www/html">
    #
    # Possible values for the Options directive are "None", "All",
    # or any combination of:
    #   Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews
    #
    # Note that "MultiViews" must be named *explicitly* --- "Options All"
    # doesn't give it to you.
    #
    # The Options directive is both complicated and important.  Please see
    # http://httpd.apache.org/docs/2.4/mod/core.html#options
    # for more information.
    #
    #Options Indexes FollowSymLinks
    Options FollowSymLinks

    #
    # AllowOverride controls what directives may be placed in .htaccess files.
    # It can be "All", "None", or any combination of the keywords:
    #   Options FileInfo AuthConfig Limit
    #
    AllowOverride all

    #
    # Controls who can get stuff from this server.
    #
    #Require all granted
    Require method GET POST

</Directory>

ディレクトリリスティングの無効、GET・POST以外は拒否

GETを利用しなければPOSTだけ有効にする、不要なアクションを無効にする

Apacheカテゴリの最新記事