トップページ > Fedora Core 4 > イントラネット セキュリティ対策 > HTTPサーバ

Fedora Core 4
イントラネット セキュリティ対策

HTTPサーバ

対象バージョン

httpd-2.0.40-21 (Red Hat Linux 9)
httpd-2.0.54-10 (Fedora Core 4)

インストール

 追加インストールは不要です。

設定

1.HTTP応答ヘッダ情報量抑止

 HTTPリクエストに対する応答情報の中には、ヘッダ部分にOSのバージョンに関する情報や Apacheのバージョン情報が含まれています。 この情報を元にOSやApacheのセキュリティホールを突いた攻撃を受けないように ヘッダ部分の情報が最小となるように設定を行います。

viエディタでApacheの設定ファイルを開きます。

# vi /etc/httpd/conf/httpd.conf[Enter]

ファイル( /etc/httpd/conf/httpd.conf )
※ファイルの該当箇所のみ変更※
ServerTokens OS
     ↓修正
ServerTokens Prod

 設定が終わったら、rcスクリプトを使用してHTTPサービスを再起動します。

# /etc/rc.d/init.d/httpd△restart[Enter]

2.ドキュメントフッタ表示抑止

 Apacheの初期設定ではHTTPサーバが返すドキュメント(エラーメッセージなど)の フッタ部分にサーバのURLや管理者メールアドレスが含まれています。 この情報が必要となるケースはあまりなく、メールアドレスなどは 不用意に公開しない方が良いため、フッタ行を表示しない設定を行います。

viエディタでApacheの設定ファイルを開きます。

# vi /etc/httpd/conf/httpd.conf[Enter]

ファイル( /etc/httpd/conf/httpd.conf )
※ファイルの該当箇所のみ変更※
ServerSignature On
     ↓修正
ServerSignature Off

 設定が終わったら、rcスクリプトを使用してHTTPサービスを再起動します。

# /etc/rc.d/init.d/httpd△restart[Enter]

3.ディレクトリ内のファイル一覧表示抑止

 HTTPリクエストの対象となったファイルが存在しない場合、 そのディレクトリ内のファイル一覧を表示する機能があります。 ファイルを一般に公開してダウンロードしてもらうような用途である場合を除いて、 ファイル一覧は表示しない方が賢明です。 Apacheの初期状態ではこの機能が有効になっているため、 無効とする設定を行います。

viエディタでApacheの設定ファイルを開きます。

# vi /etc/httpd/conf/httpd.conf[Enter]

ファイル( /etc/httpd/conf/httpd.conf )
※ファイルの該当箇所を削除※   ※コメント行は省略
<Directory "/var/www/html">
    Options Indexes FollowSymLinks   ←Indexes を削除
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>

 設定が終わったら、rcスクリプトを使用してHTTPサービスを再起動します。

# /etc/rc.d/init.d/httpd△restart[Enter]

4.HTTPメソッドの抑止

 HTTPメソッドはHTTPサーバに対して実行可能なコマンドのことですが、 中には悪用されることでサーバ上のファイル情報を不正取得される危険性が あるものが含まれています。 そこで、通常HTTPサーバを運用する上で必要最低限のHTTPメソッドのみを 実行可能とし、その他は許可しない設定とします。
viエディタでApacheの設定ファイルを開きます。

# vi /etc/httpd/conf/httpd.conf[Enter]

ファイル( /etc/httpd/conf/httpd.conf )
※ファイルの該当箇所に追加※
<Directory "/var/www/html">
(中略)
    Order allow,deny
    Allow from all

    <Limit GET HEAD POST>   ←この行を追加
        Order allow,deny   ←この行を追加
        Allow from all   ←この行を追加
    </Limit>   ←この行を追加
    <LimitExcept GET POST>   ←この行を追加
        Order deny,allow   ←この行を追加
        Deny from all   ←この行を追加
    </LimitExcept>   ←この行を追加

</Directory>

 設定が終わったら、rcスクリプトを使用してHTTPサービスを再起動します。

# /etc/rc.d/init.d/httpd△restart[Enter]
イントラネット
セキュリティ対策