Apacheセキュリティ–安全なインストールのための10のヒント

Apacheは、今日使用されている最も人気のあるWebサーバーアプリケーションの1つであり、長い間使用されてきました。 オープンソースで無料でダウンロードできるため、予算内でWebサイトをホストしたい人にとってはオプションとして非常に魅力的です。

ただし、Apacheは「汎用」ソフトウェアのカテゴリにも分類されます。つまり、Apacheは、コードまたはインストールスクリプトにアクセスできるすべての人が使用できます。 これにより、サイトが最初から安全に設定されていない場合、潜在的なセキュリティリスクが発生する可能性があります。

この記事では、Apacheのインストールを保護するための10のヒントを紹介します。これにより、今後問題が発生することはありません。読み進めてください。

Apacheセキュリティ–安全なインストールのための10のヒント

1）サーバー情報ディレクティブを無効にします

httpd.confでディレクティブを有効にして、Apache構成ページにアクセスすると、この目的で何が起こっているかについての情報が表示されます。

これには、使用するソフトウェアのバージョンやマシン上のこれらのファイルが保存されている場所など、サーバーの設定に関する機密情報が含まれる場合があります。

攻撃者はこの情報を使用して、サーバーが脆弱なバージョンのOpenSSLを実行しているかどうかを判断する可能性があります。

httpd.conf Apache構成ファイルのmod_infoモジュールを削除してこの問題を修正します：#LoadModule info_module modules / mod_info.so

2）サーバーステータスディレクティブを無効にします

ディレクティブは、稼働時間や負荷など、アプリケーションのサーバーのパフォーマンスに関する情報を一覧表示します。 攻撃者はこの情報を使用して、どのサーバーが最もビジーで最も脆弱であるかを判断できます。 これは、httpd.confApache構成ファイルでコメントアウトすることで修正できます。

 ＃<場所/ server-status>
＃SetHandlerサーバーステータス
＃注文拒否、許可
＃すべてから拒否
＃.your_domain.comから許可
＃</場所>

3）ServerSignatureディレクティブを無効にします

ServerSignatureディレクティブは、実行しているApacheのバージョンやオペレーティングシステムなど、Webサーバーに関する追加情報を追加するための優れた方法です。

コンピュータに機密情報が表示されないようにするには、Apacheでこのディレクティブを無効にする必要があります。 httpd.confApache構成ファイルでServerSignatureOffを使用します。

4）ServerTokensディレクティブをProdに設定します

ServerTokensディレクティブは、応答ヘッダーフィールドの一連の情報を送り返すために使用されます。 Apache ServerTokensディレクティブは、ドキュメントにリストされているものを含め、さまざまな構文を持つことができます。

ServerTokensディレクティブがProdに設定されている場合、Apacheのみがサーバー応答ヘッダーに表示されます。 これを行うには、ServerTokensProdをhttpd.confApache構成ファイルに追加します。

5）ディレクトリリストを無効にする

ディレクトリリストには、システム内のすべてのファイルが表示されるため、攻撃者は必要な機密情報を簡単に表示できます。 このオプションを有効にすることは、リスクに見合う価値がありません。

アプリケーションのソースコードに関しては、常に注意する必要があります。 アクセス権を取得した攻撃者は、セキュリティ上の欠陥を分析したり、プログラム自体の内部で行っていることの詳細を取得したりするなど、悪意のある目的でその情報を使用する可能性があります。

Apachehttpd.confファイルでOptionsディレクティブを設定します。

 <ディレクトリ/your/ website / directory>
オプション-インデックス
</ディレクトリ>

6）必要なモジュールのみを有効にする

Apache HTTPサーバーは強力なツールですが、正しく構成されていないと圧倒される可能性もあります。 事前にインストールされ、デフォルトで有効になっているモジュールが多数あり、使用する場合と使用しない場合があります。インストールする前に、これらのオプションが環境で必要な機能を果たしていることを確認してください。

しかし、httpdへの影響を考慮せずに、これらすべてのモジュールを有効にするとどうなるでしょうか。 まあ、いくつかの深刻な結果がある可能性があります。 これらのモジュールを有効にすることは、存在するか、将来発見される可能性のあるセキュリティの問題に対してサーバーを開くようなものです。

Webサイトに必要なすべてのモジュールを確実にインストールするための最良の方法の1つは、Apacheのドキュメントを参照することです。 必要なモジュールのみを使用し、使用されていないモジュールは無効にしてください。

7）適切なユーザーとグループを使用する

Apacheは強力で用途の広いWebサーバーですが、デーモン（デフォルト）ではなく、非特権アカウントで使用することをお勧めします。 これは、必要な場合にのみApacheアクセスを制限することにより、システムを安全に保つのに役立ちます。

また、同じユーザーとグループで実行されている2つの異なるプロセスは、そのうちの1つでエクスプロイトを引き起こす可能性があります。 Apacheユーザーおよびグループを変更するには、httpd.conf構成ファイルを編集してユーザーまたはグループディレクティブを変更する必要があります。

8）不要なサービスを制限する

Apacheを安全に保ちたい場合は、サービスを実行したり、不要な場合はシンボリックリンクを作成したりしないことをお勧めします。 httpd.confのOptionsディレクティブを使用すると、サービスを簡単に無効にできます。これは、必要な場合にのみ特定のディレクトリに対して実行できます。

これが何をすべきかの例です：

 <ディレクトリ/your/ website / directory>
オプション-ExecCGI-FollowSymLinks-含む
</ディレクトリ>

9）ModSecurityWAFを使用する

ModSecurityは、Webアプリケーションファイアウォールとして使用できるオープンソースソフトウェアです。 フィルタリング、サーバーIDマスキング、ヌルバイト攻撃防止機能などのさまざまな機能があり、サイトをハッカーから保護します。

Webサーバーのセキュリティを向上させ、多数の攻撃から保護するための優れた方法は、mod_securityをインストールすることです。 これにより、分散型サービス拒否（DDOS）からの保護の機会も得られます。

10）ロギングを有効にする

特定の問題の原因を調査するには、apacheロギングを有効にする必要があります。 これにより、Webサーバーで行われたクライアント要求に関する詳細情報が提供され、問題を調査するときにこれを使用するよりも良い方法はありません。

mod_log_configモジュールを使用すると、Apacheアクションをログに記録できます。 そのためには、それがhttpdconfファイルに含まれていることを確認してください。

Apacheのセキュリティが重要なのはなぜですか？

Apacheのセキュリティを設定することは重要です。これは、Webサーバーを不正アクセスから保護し、Webサイトを攻撃から保護するのに役立つためです。

Apacheのセキュリティに注意を払わないと、Webサイトがハッキングされ、データの損失や盗難につながる可能性があります。 このブログ投稿で概説されているヒントに従うことで、Apacheのインストールが可能な限り安全であることを確認できます。

結論

結論として、これらの簡単なヒントに従うことで、Apacheのインストールをより安全に保つことができます。 これらのガイドラインは出発点にすぎないため、特定のWebアプリケーションのニーズのセキュリティについてさらに調査してください。

覚えておくべき最も重要なことは、セキュリティは1回限りのイベントではなく、継続的なプロセスであるということです。 警戒を怠らず、サイトを安全に保ちましょう。