ヒントApache設定セキュリティ

ステートメントを簡単に置く：セキュリティについての保証もセキュリティもありません。これらの提案はあなたのサーバをより安全にすることができますが、あなたのサーバがこれらの提案に従った後に安全であると仮定しないでください。また、これらの推奨事項の中には、サーバーのパフォーマンスを低下させたり、環境に問題を引き起こす可能性があるものもあります。私はあなたがあなたのニーズに合うようにするどんな変更でも完全にあなた次第であることを提案します。言い換えれば、それはあなたのリスクです。

まず、あなたはドアが開いている場合

は、その後、無意味で窓をロック
最新のパッチをインストールしてください。同様に、パッチを適用しない場合は、以下の操作を続ける必要はありません。

第二に、デフォルトでは


Apacheのバージョン番号やその他の機密情報を隠し、バージョン番号とオペレーティングシステムのバージョン、多くのApacheのインストール、あるいはディスプレイ・サーバを表示しますどのようなApacheモジュールがインストールされていますか。この情報はハッカーによって使用される可能性があり、ハッカーはまた、構成しようとしているサーバー上の設定の多くがデフォルトであることを知ることができます。 httpd.confファイルに追加する必要がある2つのステートメントがあります：ServerSignature Off ServerTokens Prod ServerSignatureはApacheに表示されます。ページの下部は、404ページ、ディレクトリ一覧などのように生成されます。 ServerTokensディレクトリは、ApacheがServer HTTP応答パケットのヘッダに入れる情報を決定するために使用されます。 ServerTokensをProdに設定した場合、HTTPレスポンスヘッダは以下のように設定されます。Server：Apache他にも試したい場合は、ソースコードをApache以外に変更することができます。他にも、あるいは後述のようにmod_securityを使ってそれを行うこともできます。

第三には、必ず独自のユーザーアカウントとグループとのApacheは


実行するいくつかのApacheのインストール・プロセスは、したがって、そのApacheとあなたを想定して、サーバがユーザnobodyとして実行することができます作りますメールサーバーはすべて誰のアカウントでも実行されていないため、Apacheによって開始された攻撃が同時にメールサーバーを攻撃する可能性があります。 <ユーザー名>ユーザーapache <グループ> apache

4番目に、Webルートディレクトリの外側のファイルがサービスを提供していないことを確認します。


ApacheはWebルートディレクトリの外側にあるすべてのファイルにアクセスします。 Webサイトのファイルがすべてディレクトリ（たとえば/web）にあると仮定すると、それらを次のように設定できます。<順序の拒否、許可を許可>すべてからの拒否

オプションなしAllowOverrideなしOrder Allow、DenyすべてからのAllow Allows NoneおよびAllowOverride Noneを設定したため、サーバーがシャットダウンされます。すべてのオプションとオーバーライド各ディレクトリを明示的にOptionまたはOverrideに設定する必要があります。
V.ディレクトリの参照を閉じる


[ディレクトリ]タブの[オプション]コマンドを使用して、この機能を実装できます。 OptionをNoneまたは-Indexesに設定します。オプション - インデックス6、close include
これは、[ディレクトリ]タブの[オプション]コマンドを使用しても実行できます。 OptionをNoneまたは-Includesに設定します。コンピュータのハードウェアとソフトウェアのネットワークwww.45it.com

七、


近いCGIプログラムの実行のアプリケーションから

オプション-includes //記事あなたがいない場合CGI、それからそれを消しなさい。カタログでは、ラベルオプションはNoneまたは-ExecCGIに設定されている次のことができます。

オプション-ExecCGI

八は、Apacheはシンボリックリンクをたどり禁止


同上。 、オプションは、Noneまたは-FollowSymLinksに設定されている：あなたは、すべてのオプションをオフにする場合で
オプション-FollowSymLinks

9は、


非常に単純な複数のオプションを閉じましたオプションなしいくつかの独立したオプションのみを関連付ける場合は、次のようにオプションを設定してこれを行うことができます。オプション-ExecCGI -FollowSymLinks -Indexes
10個の.htaccessファイルをサポートします。


ディレクトリタグに実装されています。
AllowOverrideなし

再ロードする必要がある場合は、次に、これらのファイルをダウンロードできないようにするか、ファイル名を.htaccess以外のファイルに変更します。たとえば、次のように、.httpdoverrideファイルに変更して、.htで始まるすべてのファイルをブロックできます。
.httpdoverride

許可を拒否、拒否

すべて満足<11>、mod_securityを実行

は、Ivan O'Reillyが発行したApache Securityの作者です。 Risticによって書かれた非常に便利なApacheモジュール。これは、以下の機能を実装するために使用することができる。・簡単なフィルタリング・フィルタリングに基づく一般式・URL符号化検証・Unicode符号化検証BR>監査・NULLバイト攻撃防止・アップロード記憶域の制限・サーバーIDの隠蔽・Chrootの組み込みサポート

・複数の他の特徴

12は、Apacheのモジュールを参照し、

Apacheは、多くの場合、いくつかのモジュールをインストール
不要なモジュールの電源を切り各モジュールのインストール内容を理解するための資料。多くの場合、これらのモジュールをアクティブにする必要がないことがわかります。

httpd.confでLoadModuleを含むコードを見つけます。これらのモジュールを無効にするには、コード行の前に＃を追加するだけです。実行中のモジュールを見つけるには、次のステートメントを使用することができます。grep LoadModule httpd.conf次のモジュールは通常アクティブになっていて役に立ちません：mod_imap、mod_include、mod_info、mod_userdir、mod_status、 Mod_cgi、mod_autoindex。 （e129）