Web サーバー公開時の最低限のセキュリティ設定

Pocket

サーバのパッケージを最新に維持することはもちろんですが、ゼロデイ攻撃等に備える意味も含めて無用なバージョン公開は避けるのが鉄則です。
ちなみに、 RHEL 含め Amazon Linux 等でマイナーまで同じバージョンの Apache や Nginx が使用されていたとしても、更新がちゃんとすぐに反映されていれば脆弱性はすぐに対策されています。

Web サーバ側の設定

Apache

# Apache のバージョンを非表示
ServerTokens Prod

# Rails の X-Powered-By ヘッダを消す
Header always unset X-Powered-By

# ファイルの一覧表示を許可しない(デフォルトだと有効になっているので注意)
Options -Indexes

Nginx

# Nginx のバージョン情報を非表示
http {
    server_tokens off;
    #...
}

アプリケーション側の施策

PHP

/etc/php.ini

# PHP のバージョンを非表示
expose_php = Off

投稿者紹介

Wataru Noguchi
* Bio: Software Engineer, Network and Server Engineer
* Certification:
IPA: FE, AP, Network Specialist
Cisco: CCNA R&S, CCNP R&S
LPI: LPIC Level1, Level2, LPIC-3 Specialty LPI-304 Virtualization &High Availability

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください