[리눅스 보안] 서버 관리 - Apache 웹서비스 정보 숨김 [펌]

[리눅스 보안] 서버 관리 - Apache 웹서비스 정보 숨김 [펌]

 

 

■ 대상 OS : SunOS, Linux, AIX, HP-UX

 

■ 취약점 개요

    - 에러 페이지, 웹 서버 종류, OS 정보, 사용자 계정 이름 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하여야 함.

    - 불필요한 정보가 노출될 경우 해당 정보를 이용하여 시스템의 취약점을 수집할 수 있음.

 

■ 보안대책

    - 양호 : ServerTokens 지시자에 Prod 옵션이 설정되어 있는 경우

    - 취약 : ServerTokens 지시자에 Prod 옵션이 설정되어 있지 않는 경우

 

■ 보안설정 방법

    ◆ OS별 점검 파일 위치 및 점검 방법

        - SunOS, Linux, AIX, HP-UX

          Prod 옵션 설정 여부 확인

          #vi /[Apache_home]/conf/httpd.conf

          ServerTokens Prod

    ※ "httpd.conf" 파일 내에 ServerTokens 지시자가 위와 같이 "Prod"로 설정되지 않은 경우 아래의 보안설정 방법에 따라 옵션 추가

 

■ SunOS, Linux, AIX, HP-UX

    1. vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후

       #vi /[Apache_home]/conf/httpd.conf

    2. 설정된 모든 디렉토리의 ServerTokens 지시자에서 Prod 옵션 설정 (없으면 신규 삽입)

<Directory />

Options Indexes FollowSymLinks

ServerTokens Prod

 

- 이하 생략 -

</Directory>

 

    ◆ ServerTokens 지시자 옵션

        - Prod

          -> 제공하는 정보 : 웹 서버 종류

          -> 예문 : Server Apache

        - Min

          -> 제공하는 정보 : Prod 비워드 제공 정보 + 웹 서버 버전

          -> 예문 : Server Apache/1.3.0

        - OS

          -> 제공하는 정보 : Min 키워드 제공 정보 + 운영체제

          -> 예문 : Server Apache/1.3.0 (Unix)

        - Full

          -> 제공하는 정보 : OS 키워드 제공 정보 + 설치된 모듈(응용프로그램) 정보

          -> 예문 : Server Apache/1.3.0 (Unix), PHP/3.0, MyMod/1.2

출처: https://skynarciss.tistory.com/158 [IT 보물창고]