웹 페이지 만들기 (6) 아파치 보안 설정

 vi /etc/httpd/conf/httpd.conf

ServerSignature Off

 -Apache 에러 페이지나 디렉터리 목록 하단에 서버 정보가 노출되는 것을 방지

 

ServerSignature 설정은 서버 응답의 일부로 보내는 서버 정보를 제어 -> 

ServerSignature가 On으로 설정되면, 서버 오류 페이지나 디렉토리 리스팅 등의 HTTP 응답에 서버의 정보를 포함

아파치 정보도 출력되기 때문에 이 기능은 꺼두는 것이 좋다.

---

ServerTokens Prod

ServerTokens는 Apache가 HTTP 응답 헤더에 포함할 서버 정보의 범위를 제어한다.

Server 헤더에 어떤 정보를 포함할지 설정하는 것이다.

Prod는 최소한의 아파치정보만 출력하게 하는 설정이다, or 모든 정보를 출력하고 싶다면 full라고 하면 된다.

-HTTP 헤더의 Server: 값을 단순히 Apache로 출력.서버의 정확한 버전/OS 정보를 숨겨 취약점 스캔 방지

 

ServerTokens	HTTP 응답 헤더의 Server 필드 정보 제한	브라우저 개발자 도구 → 응답 헤더	Prod
ServerSignature	Apache 기본 오류 페이지에 서버 정보 표시 여부	404 페이지 하단 등	Off

 

 

---

<Directory "/var/www/html"> AllowOverride None Require all granted>

AllowOverride는 해당 디렉토리 내에서 .htaccess 파일을 사용할 수 있는지 여부를 설정

설정 블록은 /var/www/html 디렉토리 내에서의 특정 동작을 제어

 

Require all granted

Require all granted는 해당 디렉토리에 대한 모든 사용자의 접근을 허용하는 설정
<LimitExcept GET POST > 

GET과 POST를 제외한 모든 메소드에 대해 제한을 설정. 나머지는 예를 들어 put,delete와 같은 메소드를 제한할 수 있다.

 

 

-웹서버가 지원할 필요 없는 위험한 HTTP 메서드들 차단/ 웹쉘 업로드 시도, 파일 삭제 시도 등 차단

 

TraceEnable Off

TraceEnable은 HTTP TRACE 메소드에 대한 처리를 제어

TRACE 메소드는 클라이언트가 요청을 보낼 때 서버에서 그 요청이 어떻게 처리되고 있는지를 추적할 수 있게 하는 HTTP 메소드

 - HTTP TRACE 요청 비활성화/ XST(Cross Site Tracing) 공격 방지

 

XST = Cross Site Tracing
TRACE HTTP 메서드를 악용하여 사용자의 쿠키, 인증 토큰 등을 탈취하는 공격 기법
📌 배경:
TRACE 메서드는 클라이언트가 서버에 보낸 HTTP 요청을 그대로 되돌려주는 디버깅용 메서드
그런데 이 기능을 악용해서, XSS(JavaScript)와 조합해 세션 쿠키를 탈취할 수 있다.
📌 예시 공격 시나리오:
사용자가 로그인된 상태로 악성 스크립트가 삽입된 웹페이지 방문 -> 악성 JS가 TRACE 요청을 날림 -> 서버가 요청 전체를 반사(반응)하면서 Cookie: 헤더까지 보여줌 -> 악성 JS가 쿠키를 가로챔

 

trace 메서드는 개발환경에서 테스트를 하고 확인할 때 주로 사용하고 실제 환경에서는 사용하지 않는다.

 

---

vi /etc/php.ini

 

display_errors=off

Php 정보가 보이지 않게 하는 설정

 

expose_php=off

어떤 에러인지 외부에 안 보이게 하는 설정

 

session.gc_maxlifetiome = 1800

세션 유효기간을 설정하여 이후에는 세션이 삭제되도록 한다 (일정시간동안 동작이 없으면 로그아웃)

---

+기본적으로 하는 것들 

 

ssl 인증
vi /etc/httpd/conf.d/ssl.conf
vi /etc/httpd/conf/httpd.conf

 

 

 

 

/etc/httpd/conf/httpd.conf