Apacheは、世界で最も人気があり、最も使用されているWebサーバーであり、世界中で1億を超えるWebサイトにサービスを提供するために使用された最初のWebサーバーです。 Apacheは非常に安全なWebサーバーであることがわかっていますが、この記事では、CentOSVPSでApacheをさらに安全にするためのいくつかの基本的な構成変更について説明します。
1。 Apacheを最新の状態に保つ
Apacheだけでなく、すべてのサービス、アプリケーション、およびスクリプトにとって最も重要なセキュリティのヒントは、新しいバージョンがリリースされるたびにアップグレードして、それらを最新の状態に保つことです。 Apacheは積極的に開発されており、セキュリティの問題は新しいリリースで修正されています。
Apache Webサーバーを利用可能な最新バージョンに更新するには、次のコマンドを実行します
yum -y update httpd
2。 ApacheのバージョンとOSIDを非表示にする
ServerSignatureディレクティブはデフォルトで有効になっており、サーバーにインストールされているApacheのバージョンと使用しているOSが表示されます。攻撃者は、サーバーに対してこの情報を簡単に使用できます。この重要な情報を非表示にするには、Apache構成ファイルの2つのディレクティブを変更する必要があります。
Apache構成ファイルを開き、ディレクティブを見つけて、以下の変更を加えます。
vi /etc/httpd/conf/httpd.conf ServerSignature Off ServerTokens Prod
3。ディレクトリリストを無効にする
ディレクトリリストが無効になっていない場合、誰もがドキュメントルートディレクトリの下にディレクトリのコンテンツをリストできます。ディレクトリリストは、Apache構成ファイルの「Options」ディレクティブを使用して無効にできます。
テキストエディタで構成ファイルを開き、次のディレクティブを追加します
<Directory /your/document/root> Options -Indexes </Directory>
「/your/ document/root」を実際のドキュメントルートディレクトリへのパスに置き換えます。
4。 mod_securityモジュールをインストールして使用します
mod_securityは非常に便利なApacheモジュールです。これにより、Apache Webサーバーのセキュリティが強化され、さまざまな攻撃からWebサイトが保護され、一般的に知られているほとんどすべてのエクスプロイトがブロックされます。
CentOSサーバーにmod_securityをインストールして構成するには、インストールガイドを確認してください。
–CentOSVPSに設定されたOWASPコアルールを使用してmod_securityをインストールします
5。不要なモジュールをすべて無効にする
Apacheには多くのモジュールがあり、それらのいくつかはデフォルトのApacheインストールで有効になっています。すべてが必要なわけではないため、未使用のモジュールを無効にすることをお勧めします。次のコマンドを使用して、有効なすべてのApacheモジュールを一覧表示できます
httpd -M Loaded Modules: core_module (static) mpm_prefork_module (static) http_module (static) so_module (static) auth_basic_module (shared) auth_digest_module (shared) authn_file_module (shared) authn_alias_module (shared) authn_anon_module (shared) ....
モジュールの機能について詳しくは、モジュールの公式Apacheドキュメントを確認してください。
Webサーバー構成ファイルのLoadModule行の先頭に「#」文字を追加することで、不要なモジュールをすべて無効にすることができます。例:
vi /etc/httpd/conf/httpd.conf # LoadModule auth_basic_module modules/mod_auth_basic.so # LoadModule auth_digest_module modules/mod_auth_digest.so
6。リクエストサイズの制限
「LimitRequestBody」Apacheディレクティブを使用して、リクエスト本文で許可されるバイト数を制限できます。制限は主にWebサイトのニーズによって異なります。デフォルトでは、「LimitRequestBody」制限は無制限に設定されており、サービス拒否攻撃(DOS)の被害者になる可能性があります。
このApacheディレクティブの制限は、0(無制限)から2147483647(2GB)まで設定できます。たとえば、100Kのサイズのファイルを/ var / www / html / uploadディレクトリにアップロードできるようにする場合は、Apache構成ファイルに次のディレクティブを追加できます。
<Directory "/var/www/html/upload directory"> LimitRequestBody 102400 </Directory>
7。ロギングを有効にする
ログファイルは、サーバーで発生するイベントに関する詳細情報を取得するのに常に役立ちます。したがって、Apacheロギングを有効にすることをお勧めします。これにより、Webサーバーで行われたすべてのクライアント要求に関する詳細情報が提供されます。 Apacheロギングを有効にするには、サーバーで「log_config_module」モジュールが有効になっていることを確認する必要があります。
httpd -M |grep log_config_module Syntax OK log_config_module (shared)
「log_config_module」Apacheモジュールは、ログファイルの作成に使用できるTransferLog、LogFormat、およびCustomLogディレクティブの機能を有効にします。
もちろん、Linux VPSホスティングサービスのいずれかを使用している場合は、これを行う必要はありません。その場合は、専門のLinux管理者にApacheWebサーバーの強化を依頼するだけです。 24時間年中無休でご利用いただけます。リクエストはすぐに処理されます。
PS。 この投稿が気に入った場合は、左側のボタンを使用してソーシャルネットワーク上の友達と共有するか、下に返信を残してください。ありがとう。