Apache 보안 – 안전한 설치를 위한 10가지 팁

Apache는 오늘날 가장 널리 사용되는 웹 서버 응용 프로그램 중 하나이며 오랫동안 사용되어 왔습니다. 오픈 소스이며 무료로 다운로드할 수 있어 예산에 맞게 웹사이트를 호스팅하려는 사람들에게 매우 매력적인 옵션입니다.

그러나 Apache는 또한 "범용" 소프트웨어 범주에 속하므로 해당 코드 또는 설치 스크립트에 액세스할 수 있는 모든 사람이 사용할 수 있습니다. 사이트가 처음부터 안전하게 설정되지 않은 경우 잠재적인 보안 위험에 노출될 수 있습니다.

이 기사에서는 Apache 설치 보안을 위한 10가지 팁을 살펴보고 앞으로 문제가 발생하지 않도록 할 것입니다. 계속 읽으십시오!

Apache 보안 – 안전한 설치를 위한 10가지 팁

1) server-info 지시문 비활성화

httpd.conf에서 지시어를 활성화하고 Apache 구성 페이지를 방문하면 이 끝에서 무슨 일이 일어나고 있는지에 대한 정보를 알려줄 것입니다!

여기에는 사용하는 소프트웨어 버전 및 이러한 파일이 컴퓨터에 저장되는 위치와 같은 서버 설정과 관련된 민감한 정보가 포함될 수 있습니다.

공격자는 이 정보를 사용하여 서버에서 취약한 OpenSSL 버전을 실행 중인지 알아낼 수 있습니다.

httpd.conf Apache 구성 파일에서 mod_info 모듈을 제거하여 이 문제를 해결하십시오. #LoadModule info_module modules/mod_info.so

2) 서버 상태 지시문 비활성화

지시문은 가동 시간 및 로드와 같은 애플리케이션 서버의 성능에 대한 정보를 나열합니다. 이 정보는 공격자가 가장 바쁘고 가장 취약한 서버를 결정하는 데 사용할 수 있습니다. httpd.conf Apache 구성 파일에서 주석 처리하여 이 문제를 해결할 수 있습니다.

 #<위치 /서버 상태>
# SetHandler 서버 상태
# 주문 거부, 허용
# 모두 거부
# .your_domain.com에서 허용
#</위치>

3) ServerSignature 지시문 비활성화

ServerSignature 지시문은 실행 중인 Apache 버전과 운영 체제를 포함하여 웹 서버에 대한 추가 정보를 추가하는 좋은 방법입니다.

Apache는 컴퓨터에서 민감한 정보를 볼 수 없도록 이 지시문을 비활성화해야 합니다. httpd.conf Apache 구성 파일에서 ServerSignature Off를 사용하십시오.

4) ServerTokens 지시문을 Prod로 설정

ServerTokens 지시문은 응답 헤더 필드에 일련의 정보를 다시 보내는 데 사용됩니다. Apache ServerTokens 지시문은 설명서에 나열된 구문을 포함하여 다양한 구문을 가질 수 있습니다.

ServerTokens 지시문이 Prod로 설정되면 Apache만 서버 응답 헤더에 표시됩니다. httpd.conf Apache 구성 파일에 ServerTokens Prod를 추가하면 됩니다.

5) 디렉토리 목록 비활성화

디렉토리 목록은 시스템의 모든 파일을 보여주므로 공격자가 원하는 민감한 정보를 쉽게 볼 수 있습니다. 이 옵션을 활성화하는 것은 위험할 가치가 없습니다!

애플리케이션의 소스 코드와 관련하여 항상 주의해야 합니다. 액세스 권한을 얻은 공격자는 보안 결함을 분석하거나 프로그램 자체 내에서 수행 중인 작업에 대한 자세한 정보를 얻는 것과 같은 악의적인 목적으로 해당 정보를 사용할 수 있습니다.

Apache httpd.conf 파일에서 옵션 지시문을 설정합니다.

 <디렉토리 /your/website/directory>
옵션 - 인덱스
</디렉토리>

6) 필요한 모듈만 활성화

Apache HTTP Server는 강력한 도구이지만 올바르게 구성되지 않으면 압도적일 수 있습니다. 사전 설치되고 기본적으로 활성화되어 있는 많은 모듈이 있으며 사용하지 않을 수도 있으므로 설치하기 전에 이러한 옵션이 환경에 필요한 기능을 하는지 확인하십시오!

그러나 httpd에 미치는 영향을 생각하지 않고 이러한 모든 모듈을 활성화하면 어떻게 될까요? 글쎄, 몇 가지 심각한 결과가 있을 수 있습니다. 이러한 모듈을 활성화하는 것은 미래에 존재하거나 발견될 수 있는 보안 문제에 대해 서버를 여는 것과 같습니다.

웹사이트에 필요한 모든 모듈을 설치했는지 확인하는 가장 좋은 방법 중 하나는 Apache 설명서를 보는 것입니다. 필요한 모듈만 사용하고 사용하지 않는 모듈은 비활성화하십시오.

7) 적절한 사용자 및 그룹 사용

Apache는 강력하고 다재다능한 웹 서버이지만 데몬(기본값)보다 권한이 없는 계정으로 사용하는 것이 가장 좋습니다. 이것은 필요할 때만 Apache 액세스를 제한하여 시스템을 안전하게 유지하는 데 도움이 됩니다!

또한 동일한 사용자 및 그룹으로 실행되는 두 개의 서로 다른 프로세스가 그 중 하나에서 악용될 수 있습니다. Apache 사용자 및 그룹을 변경하려면 httpd.conf 구성 파일을 Change User 또는 Group 지시문으로 편집해야 합니다.

8) 원치 않는 서비스 제한

Apache를 안전하게 유지하려면 서비스를 실행하지 않거나 필요하지 않은 경우 심볼릭 링크를 생성하지 않는 것이 가장 좋습니다. httpd.conf의 Options 지시문을 사용하면 서비스를 비활성화하는 것이 쉽고 필요한 경우에만 특정 디렉토리에 대해 이 작업을 수행할 수 있습니다!

다음은 수행할 작업의 예입니다.

 <디렉토리 /your/website/directory>
옵션 -ExecCGI -FollowSymLinks -포함
</디렉토리>

9) ModSecurity WAF 사용

ModSecurity는 웹 애플리케이션 방화벽으로 사용할 수 있는 오픈 소스 소프트웨어입니다. 필터링, 서버 아이덴티티 마스킹, 널 바이트 공격 방지 기능 등 다양한 기능을 갖추고 있어 해커로부터 사이트를 안전하게 보호합니다!

웹 서버 보안을 개선하고 수많은 공격으로부터 보호하는 가장 좋은 방법은 mod_security를 ​​설치하는 것입니다. 이를 통해 DDOS(분산 서비스 거부)로부터도 보호할 수 있습니다.

10) 로깅 활성화

특정 문제의 원인을 조사하려면 Apache 로깅을 활성화해야 합니다. 이것은 웹 서버에서 이루어진 클라이언트 요청에 대한 자세한 정보를 제공하며 문제를 조사할 때 이보다 더 좋은 방법은 없습니다!

mod_log_config 모듈을 사용하면 Apache 작업을 기록할 수 있습니다. 그렇게 하려면 httpd conf 파일에 포함되어 있는지 확인하십시오.

Apache 보안이 중요한 이유는 무엇입니까?

Apache 보안을 설정하는 것은 웹 서버를 무단 액세스로부터 보호하고 웹 사이트를 가능한 공격으로부터 안전하게 유지하는 데 도움이 되기 때문에 중요합니다.

Apache 보안에 주의를 기울이지 않으면 웹 사이트가 해킹되어 데이터 손실 또는 도난이 발생할 수 있습니다. 이 블로그 게시물에 요약된 팁을 따르면 Apache 설치가 최대한 안전한지 확인하는 데 도움이 될 수 있습니다!

결론

결론적으로, 이 간단한 팁을 따르면 Apache 설치를 보다 안전하게 유지하는 데 도움이 될 수 있습니다. 이 지침은 시작점일 뿐이므로 특정 웹 응용 프로그램 요구 사항의 보안에 대해 더 자세히 조사하십시오!

기억해야 할 가장 중요한 것은 보안은 일회성 이벤트가 아니라 지속적인 프로세스라는 것입니다. 경계를 유지하고 사이트를 안전하게 유지하십시오!