on
[unix/linux 서버] Apache 웹 서비스 정보 숨김
[unix/linux 서버] Apache 웹 서비스 정보 숨김
U-71 Apache 웹 서비스 정보 숨김
■ 점검영역 : 서비스 관리
■ 항목 중요도 : 중
■ 점검내용
웹페이지에서 오류 발생 시 출력되는 메시지 내용 점검
■ 점검목적
HTTP 헤더, 에러페이지에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함
■ 보안위협
불필요한 정보가 노출될 경우 해당 정보를 이용하여 시스템의 취약점을 수집할 수 있음
점검대상 및 판단기준(리눅스, 유닉스)
■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등
양호
ServerTokens Prod, ServerSignature Off로 설정되어있는 경우
취약
ServerTokens Prod, ServerSignature Off로 설정되어있지 않은 경우
■ 조치방법
헤더에 최소한의 정보를 제한 후 전송 (ServerTokens 지시자에 Prod 옵션, ServerSignature 지시자에 Off 옵션 설정)
점검 방법
■ OS별 점검 파일 위치 및 점검 방법
SOLARIS, LINUX, AIX, HP-UX
ServerTokens, ServerSignature 옵션 설정 여부 확인
# vi /[Apache_Home]/conf/httpd.conf
ServerTokens Prod
ServerSignature off
“httpd.conf” 파일 내에 ServerTokens, ServerSignature 지시자가 위와 같이 설정되어 있지 않은 경우 아래의 보안설정방법에 따라 옵션 추가
■ SOLARIS, LINUX, AIX, HP-UX
Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후
#vi /[Apache_home]/conf/httpd.conf
Step 2) 설정된 모든 디렉터리의 ServerTokens 지시자에서 Prod 옵션 설정 및 ServerSignature Off 지시자에 Off 옵션 설정 (없으면 신규 삽입)
Options Indexes FollowSymlinks
ServerTokens Prod
ServerSignature Off
- 이하 생략-
ServerTokens 지시자 옵션 키워드 제공하는 정보 예문 Prod 웹 서버 종류 Apache Min 웹 서버 버전 Apache/2.2.3 OS 웹 서버 버전 + 운영체제 Apache/2.2.3 (CentOS) (기본값) Full 웹 서버의 모든 정보 Apache/2.2.3 (CentOS) DAV/2 PHP/5.16
■ 조치 시 영향 : 일반적인 경우 영향 없음
반응형
from http://superich.tistory.com/138 by ccl(A) rewrite - 2021-10-19 11:00:25