[unix/linux 서버] Apache 웹 서비스 정보 숨김
- 정보보안/Unix 서버
- 2022. 8. 20.
U-71 Apache 웹 서비스 정보 숨김
■ 점검영역 : 서비스 관리
■ 항목 중요도 : 중
■ 점검내용
웹페이지에서 오류 발생 시 출력되는 메시지 내용 점검
■ 점검목적
HTTP 헤더, 에러페이지에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함
■ 보안위협
불필요한 정보가 노출될 경우 해당 정보를 이용하여 시스템의 취약점을 수집할 수 있음
■ 참고
-
점검대상 및 판단기준
■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등
양호
ServerTokens Prod, ServerSignature Off로 설정되어있는 경우
취약
ServerTokens Prod, ServerSignature Off로 설정되어있지 않은 경우
■ 조치방법
헤더에 최소한의 정보를 제한 후 전송 (ServerTokens 지시자에 Prod 옵션, ServerSignature 지시자에 Off 옵션 설정)
점검 방법
■ OS별 점검 파일 위치 및 점검 방법
SOLARIS, LINUX, AIX, HP-UX
| ServerTokens, ServerSignature 옵션 설정 여부 확인 # vi /[Apache_Home]/conf/httpd.conf ServerTokens Prod ServerSignature off “httpd.conf” 파일 내에 ServerTokens, ServerSignature 지시자가 위와 같이 설정되어 있지 않은 경우 아래의 보안설정방법에 따라 옵션 추가 |
■ SOLARIS, LINUX, AIX, HP-UX
Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후
#vi /[Apache_home]/conf/httpd.conf
Step 2) 설정된 모든 디렉터리의 ServerTokens 지시자에서 Prod 옵션 설정 및 ServerSignature Off 지시자에 Off 옵션 설정 (없으면 신규 삽입)
| <Directory /> Options Indexes FollowSymlinks ServerTokens Prod ServerSignature Off - 이하 생략- </Directory> |
| ServerTokens 지시자 옵션 | ||
| 키워드 | 제공하는 정보 | 예문 |
| Prod | 웹 서버 종류 | Apache |
| Min | 웹 서버 버전 | Apache/2.2.3 |
| OS | 웹 서버 버전 + 운영체제 | Apache/2.2.3 (CentOS) (기본값) |
| Full | 웹 서버의 모든 정보 | Apache/2.2.3 (CentOS) DAV/2 PHP/5.16 |
■ 조치 시 영향 : 일반적인 경우 영향 없음