HTTPサーバ
対象バージョン
httpd-2.0.40-21 (Red Hat Linux 9)
httpd-2.0.54-10 (Fedora Core 4)
httpd-2.0.54-10 (Fedora Core 4)
インストール
追加インストールは不要です。
設定
1.HTTP応答ヘッダ情報量抑止
HTTPリクエストに対する応答情報の中には、ヘッダ部分にOSのバージョンに関する情報や
Apacheのバージョン情報が含まれています。
この情報を元にOSやApacheのセキュリティホールを突いた攻撃を受けないように
ヘッダ部分の情報が最小となるように設定を行います。
viエディタでApacheの設定ファイルを開きます。
ファイル( /etc/httpd/conf/httpd.conf )
設定が終わったら、rcスクリプトを使用してHTTPサービスを再起動します。
viエディタでApacheの設定ファイルを開きます。
# vi /etc/httpd/conf/httpd.conf[Enter]
ファイル( /etc/httpd/conf/httpd.conf )
※ファイルの該当箇所のみ変更※
ServerTokens OS
↓修正
ServerTokens Prod
ServerTokens OS
↓修正
ServerTokens Prod
設定が終わったら、rcスクリプトを使用してHTTPサービスを再起動します。
# /etc/rc.d/init.d/httpd△restart[Enter]
2.ドキュメントフッタ表示抑止
Apacheの初期設定ではHTTPサーバが返すドキュメント(エラーメッセージなど)の
フッタ部分にサーバのURLや管理者メールアドレスが含まれています。
この情報が必要となるケースはあまりなく、メールアドレスなどは
不用意に公開しない方が良いため、フッタ行を表示しない設定を行います。
viエディタでApacheの設定ファイルを開きます。
ファイル( /etc/httpd/conf/httpd.conf )
設定が終わったら、rcスクリプトを使用してHTTPサービスを再起動します。
viエディタでApacheの設定ファイルを開きます。
# vi /etc/httpd/conf/httpd.conf[Enter]
ファイル( /etc/httpd/conf/httpd.conf )
※ファイルの該当箇所のみ変更※
ServerSignature On
↓修正
ServerSignature Off
ServerSignature On
↓修正
ServerSignature Off
設定が終わったら、rcスクリプトを使用してHTTPサービスを再起動します。
# /etc/rc.d/init.d/httpd△restart[Enter]
3.ディレクトリ内のファイル一覧表示抑止
HTTPリクエストの対象となったファイルが存在しない場合、
そのディレクトリ内のファイル一覧を表示する機能があります。
ファイルを一般に公開してダウンロードしてもらうような用途である場合を除いて、
ファイル一覧は表示しない方が賢明です。
Apacheの初期状態ではこの機能が有効になっているため、
無効とする設定を行います。
viエディタでApacheの設定ファイルを開きます。
ファイル( /etc/httpd/conf/httpd.conf )
設定が終わったら、rcスクリプトを使用してHTTPサービスを再起動します。
viエディタでApacheの設定ファイルを開きます。
# vi /etc/httpd/conf/httpd.conf[Enter]
ファイル( /etc/httpd/conf/httpd.conf )
※ファイルの該当箇所を削除※ ※コメント行は省略
<Directory "/var/www/html">
OptionsIndexes FollowSymLinks ←Indexes を削除
AllowOverride None
Order allow,deny
Allow from all
</Directory>
<Directory "/var/www/html">
Options
AllowOverride None
Order allow,deny
Allow from all
</Directory>
設定が終わったら、rcスクリプトを使用してHTTPサービスを再起動します。
# /etc/rc.d/init.d/httpd△restart[Enter]
4.HTTPメソッドの抑止
HTTPメソッドはHTTPサーバに対して実行可能なコマンドのことですが、
中には悪用されることでサーバ上のファイル情報を不正取得される危険性が
あるものが含まれています。
そこで、通常HTTPサーバを運用する上で必要最低限のHTTPメソッドのみを
実行可能とし、その他は許可しない設定とします。
viエディタでApacheの設定ファイルを開きます。
ファイル( /etc/httpd/conf/httpd.conf )
設定が終わったら、rcスクリプトを使用してHTTPサービスを再起動します。
viエディタでApacheの設定ファイルを開きます。
# vi /etc/httpd/conf/httpd.conf[Enter]
ファイル( /etc/httpd/conf/httpd.conf )
※ファイルの該当箇所に追加※
<Directory "/var/www/html">
(中略)
Order allow,deny
Allow from all
<Limit GET HEAD POST> ←この行を追加
Order allow,deny ←この行を追加
Allow from all ←この行を追加
</Limit> ←この行を追加
<LimitExcept GET POST> ←この行を追加
Order deny,allow ←この行を追加
Deny from all ←この行を追加
</LimitExcept> ←この行を追加
</Directory>
<Directory "/var/www/html">
(中略)
Order allow,deny
Allow from all
<Limit GET HEAD POST> ←この行を追加
Order allow,deny ←この行を追加
Allow from all ←この行を追加
</Limit> ←この行を追加
<LimitExcept GET POST> ←この行を追加
Order deny,allow ←この行を追加
Deny from all ←この行を追加
</LimitExcept> ←この行を追加
</Directory>
設定が終わったら、rcスクリプトを使用してHTTPサービスを再起動します。
# /etc/rc.d/init.d/httpd△restart[Enter]