[리눅스 보안] 서버 관리 - Apache 웹서비스 정보 숨김
■ 대상 OS : SunOS, Linux, AIX, HP-UX
■ 취약점 개요
- 에러 페이지, 웹 서버 종류, OS 정보, 사용자 계정 이름 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하여야 함.
- 불필요한 정보가 노출될 경우 해당 정보를 이용하여 시스템의 취약점을 수집할 수 있음.
■ 보안대책
- 양호 : ServerTokens 지시자에 Prod 옵션이 설정되어 있는 경우
- 취약 : ServerTokens 지시자에 Prod 옵션이 설정되어 있지 않는 경우
■ 보안설정 방법
◆ OS별 점검 파일 위치 및 점검 방법
- SunOS, Linux, AIX, HP-UX
Prod 옵션 설정 여부 확인
#vi /[Apache_home]/conf/httpd.conf
ServerTokens Prod
※ "httpd.conf" 파일 내에 ServerTokens 지시자가 위와 같이 "Prod"로 설정되지 않은 경우 아래의 보안설정 방법에 따라 옵션 추가
■ SunOS, Linux, AIX, HP-UX
1. vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후
#vi /[Apache_home]/conf/httpd.conf
2. 설정된 모든 디렉토리의 ServerTokens 지시자에서 Prod 옵션 설정 (없으면 신규 삽입)
<Directory />
Options Indexes FollowSymLinks
ServerTokens Prod
- 이하 생략 -
</Directory>
◆ ServerTokens 지시자 옵션
- Prod
-> 제공하는 정보 : 웹 서버 종류
-> 예문 : Server Apache
- Min
-> 제공하는 정보 : Prod 비워드 제공 정보 + 웹 서버 버전
-> 예문 : Server Apache/1.3.0
- OS
-> 제공하는 정보 : Min 키워드 제공 정보 + 운영체제
-> 예문 : Server Apache/1.3.0 (Unix)
- Full
-> 제공하는 정보 : OS 키워드 제공 정보 + 설치된 모듈(응용프로그램) 정보
-> 예문 : Server Apache/1.3.0 (Unix), PHP/3.0, MyMod/1.2
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 리눅스 서버' 카테고리의 다른 글
| [리눅스 보안] 서버 관리 - 로그의 정기적 검토 및 보고 (0) | 2017.04.25 |
|---|---|
| [리눅스 보안] 서버 관리 - 최신 보안패치 및 벤더 권고사항 적용 (0) | 2017.04.22 |
| [리눅스 보안] 서버 관리 - expn, vrfy 명령어 제한 (1) | 2017.04.17 |
| [리눅스 보안] 서버 관리 - NFS 설정파일 접근권한 (0) | 2017.04.15 |
| [리눅스 보안] 서버 관리 - 로그온 시 경고 메시지 설정 (0) | 2017.04.11 |