[Unix 서버] 웹서비스 디렉토리 리스팅 제거
- 정보보안/Unix 서버
- 2022. 8. 25.
U-35 웹서비스 디렉토리 리스팅 제거
■ 점검영역 : 서비스 관리
■ 항목 중요도 : 상
■ 점검내용
디렉터리 검색 기능의 활성화 여부 점검
■ 점검목적
외부에서 디렉터리 내의 모든 파일에 대한 접근 및 열람을 제한함을 목적으로 함
■ 보안위협
디렉터리 검색 기능이 활성화 되어 있을 경우, 사용자에게 디렉터리내 파일이 표시되어 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일, 공개되어서는 안되는 파일 등이 노출 가능함
점검대상 및 판단기준
■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등
양호
디렉터리 검색 기능을 사용하지 않는 경우
취약
디렉터리 검색 기능을 사용하는 경우
■ 조치방법
디렉터리 검색 기능 제거
(/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉터리의 Options 지시자에서 Indexes 옵션 제거)
점검 방법
■ OS별 점검 파일 위치 및 점검 방법
SOLARIS, LINUX, AIX, HP-UX
Indexes 옵션 사용 여부 확인 #vi /[Apache_home]/conf/httpd.conf Options Indexes FollowSymLinks |
위에 제시한 파일에 "Indexes" 옵션이 설정된 경우 아래의 보안설정방법에 따라 옵션 설정 변경
■ SOLARIS, LINUX, AIX, HP-UX
Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일 열기
#vi /[Apache_home]/conf/httpd.conf
Step 2) 설정된 모든 디렉터리의 Options 지시자에서 Indexes 옵션 제거
(수정 전) Option 지시자에 Indexes 옵션이 설정되어 있음
<Directory /> Options Indexes FollowSymLinks AllowOverride None Order allow, deny Allow from all </Directory> |
(수정 후) Option 지시자에 Indexes 삭제 또는 -Indexes 변경 후 저장
<Directory /> Options Indexes 삭제 (또는 -Indexes) AllowOverride None Order allow, deny Allow from all </Directory> |
■ 조치 시 영향 : 일반적인 경우 영향 없음