Apacheセキュリティの基本

1 １．ServerTokensをProductOnlyにしてバージョンを隠す
2 ２．ServerSignature
3 ３．TRACEメソッドの無効
4 【補足】Limitでメソッドを制限する
5 ４．アパッチのトップページを非表示にする（テストページ）
6 ５．使ってないAlias設定を無効化
7 ６．indexの非表示
8 ７．マニュアルの非表示
9 ８．アパッチのREADMEファイルを削除する
10 ９．エラーを変える
11 １０．ユーザーページの自動表示の停止
12 １１．HTTP ヘッダーからphpバージョン(X-Powered-By: PHP/5.2.0)を消す

１．ServerTokensをProductOnlyにしてバージョンを隠す

ServerTokensは初期値ではOSになっています。
Apahce、OS、PHPのバージョンを知らせる必要はありません。
httpd.confを編集してProductOnlyにしましょう。
編集後はApacheの再起動が必要です。

# vi /etc/httpd/conf/httpd.conf
#ServerTokens OS
ServerTokens ProductOnly

ServerTokensの各設定のサンプルです。
ServerTokens ProductOnly
⇒Server: Apache
ServerTokens Minimal
⇒Server: Apache/2.2.3
ServerTokens OS
⇒Server: Apache/2.2.3 (CentOS)
ServerTokens Full (もしくは未指定)
⇒Server: Apache/2.2.3 (CentOS) DAV/2 PHP/5.1.6 mod_ssl/2.2.3 OpenSSL/0.9.8e-fips-rhel5
※この設定はサーバ全体に適用され、バーチャルホスト毎の設定はできません。

修正前はOSのバージョンなどがヘッダーで見えてしまっています。

# wget -S --spider localhost/index.html
--15:28:03--  http://localhost/index.html
localhost をDNSに問いあわせています... 127.0.0.1
localhost|127.0.0.1|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています...
  HTTP/1.1 200 OK
  Date: Tue, 21 May 2013 06:28:03 GMT
  Server: Apache/2.2.3 (CentOS)
  Last-Modified: Thu, 15 Nov 2012 07:12:30 GMT
  ETag: "940407-36-5fcab380"
  Accept-Ranges: bytes
  Content-Length: 54
  Connection: close
  Content-Type: text/html; charset=UTF-8
長さ: 54 
200 OK

修正後はApacheの表記のみになります。

# wget -S --spider localhost/index.html
--15:28:23--  http://localhost/index.html
localhost をDNSに問いあわせています... 127.0.0.1
localhost|127.0.0.1|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています...
  HTTP/1.1 200 OK
  Date: Tue, 21 May 2013 06:28:23 GMT
  Server: Apache
  Last-Modified: Thu, 15 Nov 2012 07:12:30 GMT
  ETag: "940407-36-5fcab380"
  Accept-Ranges: bytes
  Content-Length: 54
  Connection: close
  Content-Type: text/html; charset=UTF-8
長さ: 54 
200 OK

２．ServerSignature

ServerSignature ディレクティブは、サーバが生成するエラーメッセージ等のドキュメントの
最下行に付与するフッターの表記を設定します。
ServerTokens同様バージョンが見えるのでhttpd.confを編集して隠しましょう。

# vi /etc/httpd/conf/httpd.conf
#ServerSignature On
ServerSignature Off

ServerSignature Onの場合のエラーページは以下の通り

Not Found
The requested URL /a.html was not found on this server.

——————————————————————————–

Apache/2.2.15 (CentOS) Server at 192.168.10.55 Port 80

ServerSignature Offの場合のエラーページは表記が減っているのが確認できます。

Not Found
The requested URL /a.html was not found on this server.

３．TRACEメソッドの無効

この弊害はここでは追求しませんが、使えないようにしておきます。
Apache 1.3.34 以降か 2.0.55以降であれば下記のように1行加えて修正は完了です。
httpd.confにTraceEnable Offを追記するだけです。

# vi /etc/httpd/conf/httpd.conf
TraceEnable Off ←任意の場所に追記

修正前のヘッダーは以下の通り

HTTP/1.1 200 OK
Date: Thu, 16 May 2013 00:34:55 GMT
Server: Apache/2.2.15 (CentOS)
Allow: GET,HEAD,POST,OPTIONS,TRACE
Content-Length: 0
Connection: close
Content-Type: httpd/unix-directory

修正後は以下のようにTraceが消えているのが確認できます。

HTTP/1.1 200 OK
Date: Thu, 16 May 2013 00:36:23 GMT
Server: Apache/2.2.15 (CentOS)
Allow: GET,HEAD,POST,OPTIONS
Content-Length: 0
Connection: close
Content-Type: httpd/unix-directory

【補足】Limitでメソッドを制限する

似たようなことがhttpd.confの中のLimitディレクティブを使用してすることもできます。

＜Limit＞は指定したメソッドを制御します。
例えば＜Limit GET POST OPTIONS＞と指定すればGET，POST，OPTIONSを制御、つまり禁止します。

逆に＜LimitExcept＞は，指定していないメソッドを制御します。
例えば＜LimitExcept GET POST OPTIONS＞と指定すればGET，POST，OPTIONS以外のメソッドを制御します。

このLimitの使用方法を間違える場合が多いようです。
今回のようにセキュリティが目的なら、一般的には LimitExcept を使用するべきでしょう。
そうしなくては、禁止すべきメソッドを全て列挙しなくてはいけないからです。

<Limit GET POST OPTIONS>　←GET POST OPTIONSを許可
    Order allow,deny
    Allow from all
</Limit>
<LimitExcept GET POST OPTIONS>　←GET POST OPTIONS以外を制限
    Order deny,allow
    Deny from all
</LimitExcept>

４．アパッチのトップページを非表示にする（テストページ）

ここにもOSやらApacheのバージョンが表記されています。
隠しましょう。
welcome.confの英語をよく見ると、コメントアウトするようにかいています。
その通りコメントアウトします。

vim /etc/httpd/conf.d/welcome.conf
#
# This configuration file enables the default "Welcome"
# page if there is no default index page present for
# the root URL.  To disable the Welcome page, comment
# out all the lines below.
#
<LocationMatch "^/+$">
    Options -Indexes
    ErrorDocument 403 /error/noindex.html
</LocationMatch>
非表示にするためには、全ての行をコメントアウトします(訳)
 ↓
#
# This configuration file enables the default "Welcome"
# page if there is no default index page present for
# the root URL.  To disable the Welcome page, comment
# out all the lines below.
#
#<LocationMatch "^/+$">
#    Options -Indexes
#    ErrorDocument 403 /error/noindex.html
#</LocationMatch>

５．使ってないAlias設定を無効化

Apacheの英語訳の通りにしても、
http://[URL]/error/noindex.html
にアクセスすると、結局テストページは表示されます。
それはAiliasが設定されているためです。
不要なAiliasはコメントアウトしておきましょう。

# vi /etc/httpd/conf/httpd.conf
Alias /icons/ "/var/www/icons/"
ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
Alias /error/ "/var/www/error/"
　↓
#Alias /icons/ "/var/www/icons/"
#ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
#Alias /error/ "/var/www/error/"

もしエラーページが必用なら、
/error/noindex.html
を削除してしまえばテストページは表示されません。

また、CGIを使用していなければScriptAliasはコメントアウトして問題ありませんが、
使用しているのであれば別ディレクトリにした方がいいかもしれません。

６．indexの非表示

これは危険です。
ページが全て丸見えになってしまいます。

(対応方法１)
httpd.confのOptionsからIndexesを外す。
これをしておくのが無難でしょう。

# vi /etc/httpd/conf/httpd.conf
    Options Indexes FollowSymLinks
　↓
#    Options Indexes FollowSymLinks
    Options FollowSymLinks

※複数のディレクティブで設定している場合はしてください。

(対応方法２)
httpd.confの
DirectoryIndex index.html index.php
に設定してあるindex.htmlやindex.phpを各ディレクトリに置くという方法もあります。

７．マニュアルの非表示

http://[URL]/manual/
で表示されます。
welcome.confのAliasMatchをコメントアウトします。

vim /etc/httpd/conf.d/welcome.conf
#
# This configuration file allows the manual to be accessed at
# http://localhost/manual/
#
AliasMatch ^/manual(?:/(?:de|en|fr|ja|ko|ru))?(/.*)?$ "/var/www/manual$1"
 
<Directory "/var/www/manual">
    Options Indexes
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>
　↓
#
# This configuration file allows the manual to be accessed at
# http://localhost/manual/
#
#AliasMatch ^/manual(?:/(?:de|en|fr|ja|ko|ru))?(/.*)?$ "/var/www/manual$1"
 
<Directory "/var/www/manual">
    Options Indexes
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>

８．アパッチのREADMEファイルを削除する

/var/www/error/README　の削除

９．エラーを変える

httpd.conf の ErrorDocumentディレクティブを修正しましょう。
直接文字を設定することも、リンクを設定することもできます。

# vi /etc/httpd/conf/httpd.conf
ErrorDocument 404 "Sorry. I can't find your requested file."
ErrorDocument 404 /error/notfound.html

１０．ユーザーページの自動表示の停止

mod_userdirが入ってると、ユーザー・ホームディレクトリに各自が公開コンテンツをおけます。
/home/neko/public_html　は　http://[ドメイン]/~neko になります。
勝手に公開されていたなんてことがないように気を付けましょう！
使用していなければコメントアウトしておくにこしたことはありません。

# vi /etc/httpd/conf/httpd.conf
LoadModule userdir_module libexec/apache/mod_userdir.so
 
AddModule mod_userdir.c
 
<IfModule mod_userdir.c>
    UserDir public_html
</IfModule>
              ↓
#LoadModule userdir_module libexec/apache/mod_userdir.so
 
#AddModule mod_userdir.c
 
#<IfModule mod_userdir.c>
#    UserDir public_html
#</IfModule>

１１．HTTP ヘッダーからphpバージョン(X-Powered-By: PHP/5.2.0)を消す

PHPのバージョンが漏れると、脆弱性を攻撃されるかもしれません。
非表示にしましょう。

/etc/php.iniの
expose_php=On
の設定を
expose_php=Off
にします。

修正前だとヘッダーにバージョンがあります。

# wget -S --spider localhost/test.php
--16:33:07--  http://localhost/test.php
localhost をDNSに問いあわせています... 127.0.0.1
localhost|127.0.0.1|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています...
  HTTP/1.1 200 OK
  Date: Tue, 21 May 2013 07:33:07 GMT
  Server: Apache
  X-Powered-By: PHP/5.1.6
  Connection: close
  Content-Type: text/html; charset=UTF-8
長さ: 特定できません
200 OK

修正後には非表示になっていることが確認できます。

# wget -S --spider localhost/test.php
--16:32:35--  http://localhost/test.php
localhost をDNSに問いあわせています... 127.0.0.1
localhost|127.0.0.1|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています...
  HTTP/1.1 200 OK
  Date: Tue, 21 May 2013 07:32:35 GMT
  Server: Apache
  Connection: close
  Content-Type: text/html; charset=UTF-8
長さ: 特定できません
200 OK

Apacheセキュリティ

できるPRO Apache Webサーバー改訂版 Version 2.4/2.2/2.0対応 (できるPROシリーズ)