最近のapacheのセキュアな設定方法(2015年2月版)

久しぶりにapacheの設定をしていて、そういやPOODLEもあったし、今新規でapache設定するにはどんな設定がいいか整理してみた。ただ基本的にはPOODLE対策を追加しただけ。

お決まりですが、この設定をしたからって必ずセキュアはわけではありません。基本的にバージョン隠蔽などの攻撃者に提供する情報を減らすことがメインです。アップデートは速やかに実施しましょう。

環境はCentOS 7でやってますが、Red Hatは同じ設定で行けますし、他のディストリ(debian,ubuntu,etc.)でも設定ファイルの場所が違うくらいでやることは一緒です。

まずはお決まりの設定

apacheの情報隠蔽系

3行目は情報隠蔽とは違いますが、まとめて設定しておけば良いと思います。

 

インデックス表示をやめる

index.htmlとかのファイルがない場合、ディレクトリ内の一覧表示してしまう設定を無効にします。

Options の Indexesを消します。昔は-Indexesとかでマイナス付けてた気がするけど、最近怒られた気がするので消します。

welcomeページを非表示にする

ここはCentOS(Red Hat)だけかも。ドキュメントルートに、index.htmlを置いてないと、Welcomeページを表示してくれるが、Welcomeページから、使っているOSとかバレそうなんで無効化。

/etc/httpd/conf.d/welcome.conf を全部コメントアウトします。

 

autoindex.confを無効にする

CentOS7(Red Hat 7)からだと思う。よく調べて無いけどとりあえず無効にする。

/etc/httpd/conf.d/autoindex.conf を全部コメントアウトします。

 

phpのバージョン表示を無効にする

expose_php をOffにします。

POODLE対策で、SSLv3を無効にする

-SSLv3を追加してます。

 

userdirとかもあったけど、デフォルトで無効になってるっぽいし、最近userdir使う人もいないだろうし。

とりあえず思い付くのはこんなところ。抜けがあるかも。