apacheのセキュリテイ設定 ~Amazon EC2の立ち上げ~
Contents
apacheのセキュリテイ設定
前回は「Ubuntuにphpmyadminをインストールする」でサーバーに phpmyadmin をインストールした。
今回は Ubuntu Server 16.04 LTS にインストールした apache のセキュリティ向上の為の記事とする。
ブラウザから存在しないURLが入力された際にデフォルトの apache の場合、バージョンやOSの種類が返されてしまう。
サーバーにインストールされている apache のバージョンが特定されるとそのバージョン特有のセキュリテイホールをつかれる可能性がある。
バージョンが特定される=ハッキングされる、という訳では無いが不必要な情報はなるべく表示しない方が安全だ。
バージョンが表示される
デフォルトの設定だと以下の様に apache のバージョンが表示される。
security.confの編集
エディター(任意)で /etc/apache2/conf-available/security.conf を編集する。
cd /etc/apache2/conf-available
sudo vim security.conf
以下のセクションを設定する。
ServerTokens Prod | エラーの時のOSを非表示にする |
ServerSignature Off | HTTPレスポンスヘッダのサーバ署名を非表示にする |
設定を保存したら apache を再起動してもう一度同じURLに接続してみる
sudo service apache2 restart
バージョンが表示されない
apache のバージョンや OS 表示が消えた。
以上で今回の記事は終了とする。
次回は同じくセキュリティ関係の設定で ssh のデフォルトのポート番号=22 を変更する方法の記事とする。
次回の「sshのセキュリティ向上の為、ポート番号を変更しておく」の記事に続く
最近のコメント