[Unix 서버] 웹서비스 디렉토리 리스팅 제거

 

 

U-35 웹서비스 디렉토리 리스팅 제거

 

■ 점검영역 : 서비스 관리

 

■ 항목 중요도 : 상

 

■ 점검내용

 

디렉터리 검색 기능의 활성화 여부 점검

 

■ 점검목적

 

외부에서 디렉터리 내의 모든 파일에 대한 접근 및 열람을 제한함을 목적으로 함

 

■ 보안위협

 

디렉터리 검색 기능이 활성화 되어 있을 경우, 사용자에게 디렉터리내 파일이 표시되어 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일, 공개되어서는 안되는 파일 등이 노출 가능함

 

 

점검대상 및 판단기준

 

■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등

 

양호

디렉터리 검색 기능을 사용하지 않는 경우

 

취약

디렉터리 검색 기능을 사용하는 경우

 

■ 조치방법

 

디렉터리 검색 기능 제거

(/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉터리의 Options 지시자에서 Indexes 옵션 제거)

 

 

점검 방법

 

■ OS별 점검 파일 위치 및 점검 방법

 

SOLARIS, LINUX, AIX, HP-UX

Indexes 옵션 사용 여부 확인 #vi /[Apache_home]/conf/httpd.conf Options Indexes FollowSymLinks

위에 제시한 파일에 "Indexes" 옵션이 설정된 경우 아래의 보안설정방법에 따라 옵션 설정 변경

 

■ SOLARIS, LINUX, AIX, HP-UX

 

Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일 열기
#vi /[Apache_home]/conf/httpd.conf

Step 2) 설정된 모든 디렉터리의 Options 지시자에서 Indexes 옵션 제거
(수정 전) Option 지시자에 Indexes 옵션이 설정되어 있음

<Directory /> Options Indexes FollowSymLinks AllowOverride None Order allow, deny Allow from all </Directory>

(수정 후) Option 지시자에 Indexes 삭제 또는 -Indexes 변경 후 저장

<Directory /> Options Indexes 삭제 (또는 -Indexes) AllowOverride None Order allow, deny Allow from all </Directory>

 

■ 조치 시 영향 : 일반적인 경우 영향 없음