Apache周りのセキュリティ

昨年末からいろいろあって、全てのWEBサーバのセキュリティ診断を行っています。

診断は、業界では有名なLAC社に委託をしているので、技術力は問題無いのですが、その指摘の細かさに驚きつつ、そんな穴誰も突付かないだろw(決してラックには言えませんが・・・)
とツッコミつつも、ミドルウェアの設定を変更したりバージョンアップを行っています。

で、その中では僕の認識が甘かった部分や、知らなかった物が何個もあったので、その対策とかのメモ。

【Apache】
 (1)ローカルユーザー情報の漏洩
    Userdir public_htmlとかなっていると、
    http://ドメイン/~存在するユーザー名   ・・・ Forbbiden
    http://ドメイン/~存在しないユーザー名  ・・・ Not Found
    となり、生きてるユーザーがいる事が分かってしまう。

    まぁ、会社のシステムでは使っていない機能なので停止。    
    Userdir disabled

 (2)エラーページからシステム情報の漏洩
    デフォルトだと400系や500系の時にApache情報が記載されるので、
    そこから脆弱性が漏れる可能性がある。
    ServerTokens Prod
    ServerSignature Off

【SSL】
 (3)脆弱な暗号化(SSLv2)のサポート
    SSLv2をサポートしている事自体がダメなんだって。
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+Exp:+eNULL
    SSLProtocol ALL –SSLv2

【PHP】
 (4)PHPトラッカー情報の漏洩
    これもシステム情報の漏洩系。
    expose_php = Off

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です