安全なWebサーバーApacheのセキュリティ5つの対策

ApacheがWebサーバーの半分を占める重要な理由の1つは、安全なWebオペレーティング環境を提供できることです。 Apacheコミュニティはセキュリティを確保するために多くの作業をしました。これまで、この製品にセキュリティ上の欠陥があることが判明したとき、Apache開発者はできるだけ早くパッチを考え出しました。

しかし、Apacheはすでにセキュリティ製品ですが、サーバーを構築するときにセキュリティ対策を講じないと、この種のWebサーバーは依然として多くの攻撃に対して脆弱です。

この記事では、Apache Webサーバーをさまざまな攻撃から保護するための10のヒントを紹介します。ただし、各テクニックが自分の組織に適していることを確認するために各テクニックを慎重に評価する必要があることを覚えておくことが重要です。

インストールのみが必要

Apacheの最大の特徴の1つは、その柔軟性と多数のオプションのインストールモジュールです。これらはセキュリティ問題に関しては大きな弱点になる可能性があります。設置する数が多いほど、潜在的な攻撃者にとって攻撃面が大きくなります。標準のApacheインストールには、CGI機能や認証メカニズムなど、20を超えるモジュールが含まれています。 CGIを採用する予定がなく、静的Webサイトのみを使用したい場合は、ユーザー認証は不要です。おそらく、これらのモジュールによって提供されるサービスは不要なので、Apacheをインストールするときに無効にします。

稼働中のApacheサーバーを使用していて、それを再インストールしたくない場合は、httpd.conf設定ファイルでLoadModuleで始まる行を再確認してください。 Apacheのドキュメントをチェックして（Google、Yahooなどで検索することもできます）、各モジュールの目的を見つけ、必要でないモジュールを見つけてください。その後、Apacheを再起動してください。 //この記事はwww.45it.com.cnのコンピュータソフトウェアとハ​​ードウェアのアプリケーションネットワークから転送されました。

最小露光量

Apacheはインストールが簡単で、管理もかなり簡単です。残念なことに、多くのApacheのインストールはあなたのサーバーについてあまりにも多くの有用な情報を提供しています。例えば、Apacheのバージョン番号やオペレーティングシステム関連の情報など。この情報を使って、特にすべてのパッチを最新の状態に保つ機能がない場合、潜在的な攻撃者がシステムに影響を与える可能性がある特定の壊滅的な脆弱性を突き止めることができます。このようにして、攻撃者は試行錯誤することなくあなたが実行していることを正確に知ることができるので、攻撃方法を調整することができます。

サーバーが機密情報をブロードキャストしないようにするには、httpd.confのServerSignatureディレクティブを必ずoffに設定してください。デフォルトのApacheインストールではこのディレクティブをoffに設定しますが、多くの管理者がこれを有効にしています。

同様に、ディレクトリの参照を無効にすることもお勧めです。ディレクトリの参照が有効になっていると、必要なドキュメントが含まれていないディレクトリにアクセスすると、そのディレクトリ内のコンテンツの完全なリストが表示されます。あなたがそうしなければならないのでない限り、あなたは人々が彼らが必要以上に見ることを許可してはいけません。

ディレクトリの参照はデフォルトで有効になっています。この機能を無効にするには、http.confファイルを編集して各DirectoryディレクティブのIndexs参照を消去します。

たとえば、実験用の作者のApache 2.2.4サーバーでは、これはデフォルトのディレクトリコマンドです。

オプションインデックスFollowSymLinks
AllowOverrrideなし
注文を許可、拒否
すべてから許可する

索引参照の外観をクリアします。

オプションFollowSymLinks
AllowOverrrideなし
許可する、拒否する
すべてから許可する
> Indexesディレクティブをそのままにしてダッシュで起動することで、ディレクティブ（つまり-Indexes）を無効にすることもできます。

シンボリック接続の追跡を無効にする

あなたがWebコンテンツを校正している唯一の人で、新しいシンボリックリンクを作成するときにほとんど間違いがなければ、これを心配する必要はありません。しかし、あなたのサイトにコンテンツを追加できる人がたくさんいるのであれば、誰もがあなたのように用心深いわけではないので、ユーザーが誤ってあなたのファイルシステムへのシンボリックリンクを作成する危険性があります。その一部であり、あなたは本当に人々がこれらのファイルを見ることを望まない。たとえば、Apacheサーバのルートにいる誰かが/フォルダへのシンボリックリンクを作成した場合はどうすればよいですか。

ユーザがシンボリックリンクを追跡できるようにするというApacheサーバの要求をキャンセルするには、 DirectoryコマンドのFollowSymlinksコマンドを消去します。

たとえば、著者の実験的なApache 2.2.4サーバーでは、Directoryコマンドは次のようになります。

オプションインデックスFollowSymLinks
AllowOverrrideなし
許可する、拒否する
許可すべてから

FollowSymLinks参照をクリアすると、次のようになります。

オプションインデックス
AllowOverrrideなし
許可する、拒否する
すべてから許可する

シンボリックリンクを追跡する機能が必要な場合は、代わりにSymLinksIfOwnerMatchを使用することを検討してください。

Listenコマンドの詳細

最初にApacheをインストールしたとき、httpd.confにはListen 80コマンドが含まれています。これはListen mn.xx.yy.zz：80に変更する必要があります。ここで、mn.xx.yy.zzは、Apacheがその要求に対してlistenするIPアドレスです。 Apacheが複数のIPアドレスを持つサーバー上で稼働している場合、これは特に重要です。予防策を講じない場合、デフォルトのListen 80コマンドはApacheに各IPアドレスのポート80で待機するように指示します。

ただし、この方法はお客様の環境には適用されない可能性があるため、必要に応じて決定する必要があります。

httpd.confからデフォルトのコメントを削除

Apache 2.2.4のデフォルトのhttpd.confファイルには400行以上あります。 400行のうち、ごく一部は実際のApacheの命令であり、残りはユーザーが命令をhttpd.confに適切に配置するのを助ける単なるコメントです。著者の経験によると、これらのコメントは時に悪影響を及ぼしたり、危険な指示をファイルに残したりすることさえあります。私が管理している多くのApacheサーバー上で、httpd.confファイルを他のファイル（httpd.conf.origなど）にコピーした後、余分なコメントを完全に削除しました。ファイルは読みやすくなり、潜在的なセキュリティ問題をより適切に解決したり、ファイルを誤って構成したりします。