[리눅스 보안] 서버 관리 - Apache 디렉토리 리스팅 제거
■ 대상 OS : SunOS, Linux, AIX, HP-UX
■ 취약점 개요
- 디렉토리 검색은 디렉토리 요청 시 해당 디렉토리에 기본 문서가 존재하지 않을 경우 디렉토리 내 모든 파일의 목록을 보여주는 기능임.
- 디렉토리 검색 기능이 활성화되어 있는 경우 외부에서 디렉토리 내의 모든 파일에 대한 접근이 가능하여 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일 등 공개되어서는 안 되는 중요 파일 노출이 가능함
■ 보안대책
- 양호 : 디렉토리 검색 기능을 사용하지 않는 경우
- 취약 : 디렉토리 검색 기능을 사용하는 경우
■ 조치방법
- 디렉토리 검색 기능 제거 (/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉토리의 Options 지시자에서 Indexs 옵션 제거)
■ 보안설정 방법
◆ OS별 점검 파일 위치 및 점검 방법
- SunOS, Linux, AIX, HP-UX
Indexes 옵션 사용 여부 확인
#vi /[Apache_home]/conf/httpd.conf
Options Indexes FollowSymLinks
※ 위에 제시한 파일에 "Indexes" 옵션이 설정된 경우 아래의 보안설정 방법에 따라 옵션 설정 변경
■ SunOS, Linux, AIX, HP-UX
1. vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후
#vi /[Apache_home]/conf/httpd.conf
2. 설정된 모든 디렉토리의 Options 지시자에서 Indexes 옵션 제거
(수정 전) Option 지시자에 Indexes 옵션이 설정되어 있음
<Directory />
Options Indexes FollowSymLinks
AllowOverride None
Order allow, deny
Allow from all
</Directory>
(수정 후) Option 지시자에 Indexes 옵션 제거 후 저장
<Directory />
Options FollowSymLinks
AllowOverride None
Order allow, deny
Allow from all
</Directory>
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 리눅스 서버' 카테고리의 다른 글
[리눅스 보안] 서버 관리 - Apache 상위 디렉토리 접근 금지 (0) | 2017.03.16 |
---|---|
[리눅스 보안] 서버 관리 - Apache 웹 프로세스 권한 제한 (0) | 2017.03.15 |
[리눅스 보안] 서버 보안 - DNS Zone Transfer 설정 (1) | 2017.03.13 |
[리눅스 보안] 서버 관리 - DNS 보안 버전 패치 (1) | 2017.03.10 |
[리눅스 보안] 서버 관리 - 일반사용자의 Sendmail 실행 방지 (1) | 2017.03.09 |