【情報公開】安全Webサーバ運用(apache Webサーバのセキュア設定)@2015.01.01

【情報公開】安全Webサーバ運用(apache Webサーバのセキュア設定)@2015.01.01

Comments Off on 【情報公開】安全Webサーバ運用(apache Webサーバのセキュア設定)@2015.01.01

当社では、大手企業のWebシステムを開発し、運用する機会が多いのですが、apacheを用いたWebサーバ運用では、不正アクセスなどの攻撃をより防ぐために、apacheバージョンやOpenSSLバージョンの非表示や、ssl暗号化強度を強化するようにしています。下記は、CentOSやRedhat Enterprise (RHEL) の例です。(ubuntuやDebianでは、/etc/apache2/conf.d/securityの内容を変更してください。)

apacheバージョンの非表示化

  • /etc/httpd/httpd.confの下記を変更
    • ServerTokens OS
        ↓
      ServerTokens Prod

OpenSSLのバージョンを非表示化

  • /etc/httpd/httpd.confの下記をコメントアウト
    • Include conf/extra/httpd-default.conf

ssl暗号化強度の強化

  • /etc/httpd/conf.d/ssl.confの下記を変更 (SSLv2、SSLv3の利用を禁止)
    • 	SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
      	  ↓
      	SSLCipherSuite ALL:!aNULL:!eNULL:!RC4:!RC2:!MD5:!DES:!IDEA:!ADH:!EXPORT:!SSLv2:!SSLv3:+HIGH:+MEDIUM:!PSK:!DH:!KRB5:!CAMELLIA:!SEED
      

(技術開発部 林經正)

About the author:

Tags:

Back to Top