Ritolabo
  1. Home
  2. Linux
  3. Apache

カテゴリApache

Apacheで画像などのリソースを直リンクさせない設定を行う(SetEnvIf + Referer)

  • Apache
Apacheで画像などのリソースを直リンクさせない設定を行う(SetEnvIf + Referer)

直リンクとは、外部のサイトなどで、自サーバのリソース(画像など)に対して直接リンクを張り表示させる事です。つまりは、「他者のリソースをそのまま使う」という事になります。直リンクに制限を掛ける場合は、Apacheの設定から行えます。

Apacheロードバランサで負荷分散。冗長化構成を開発環境でも。~負荷分散と冗長化の基礎を添えて~

  • Apache
Apacheロードバランサで負荷分散。冗長化構成を開発環境でも。~負荷分散と冗長化の基礎を添えて~

ロードバランサはAWSなどクラウドサービス出現のおかげでかなり気軽に使えるようになりました。とはいえ、アプリケーションの開発時に冗長化構成下の動作確認を気軽に行いたいと思う場合もあったりします。負荷分散や冗長化の基本をさらいつつ、Apacheを使って冗長化構成時のロードバランシングを行います。

Apache2.4セキュリティ「ApacheとPHPのバージョン表示を無効にする」

  • Apache
Apache2.4セキュリティ「ApacheとPHPのバージョン表示を無効にする」

ApacheやPHPはデフォルトではバージョンの取得(=表示)が有効になっています。Apacheのバージョンが第三者に分かってしまうと、脆弱性が発見された時にドンピシャのバージョンであったりすると、攻撃の標的になり被害を被るリスクが高まりますので、非表示にしてしまいます。

Apache2.4セキュリティ「mod_headersモジュールでX-Frame-Optionsレスポンスヘッダの設定を行いクリックジャッキング攻撃対策を行う」

  • Apache
Apache2.4セキュリティ「mod_headersモジュールでX-Frame-Optionsレスポンスヘッダの設定を行いクリックジャッキング攻撃対策を行う」

WEBサーバのセキュリティ対策とは、常に小さな事の積み重ねですが、X-Frame-Options HTTPレスポンスヘッダとは、外部サイトからのiframeの読み込み許可範囲を設定できるものです。この設定を行う事で、クリックジャッキング攻撃対策を行う事が出来ます。

Apache2.4セキュリティ「HTTP TRACEメソッドを無効化しCross-SiteTracing(XST = クロスサイトトレーシング)対策を行う」

  • Apache
Apache2.4セキュリティ「HTTP TRACEメソッドを無効化しCross-SiteTracing(XST = クロスサイトトレーシング)対策を行う」

Apacheはデフォルトで「HTTP TRACEメソッド」という機能が有効になっています。この機能が有効な場合、サイトにXSS(クロスサイトスクリプティング)の脆弱性があった場合、Cross-Site Tracing(XST)という攻撃リスクが高まる可能性がありますので、無効化します。

Apache2.4セキュリティ「iconsディレクトリ対策」を行い、不要なコンテンツ表示を無効化する

  • Apache
Apache2.4セキュリティ「iconsディレクトリ対策」を行い、不要なコンテンツ表示を無効化する

iconsディレクトリは、デフォルトコンテンツで使う画像などが設置されているディレクトリです。デフォルトページを非表示にした場合不要なディレクトリとなりますが、このディレクトリが有効な場合、そこに含まれるREADMEファイルなども表示されてしまうので無効化してしまいましょう。

Author

rito

rito

  • Backend Engineer
  • Tokyo, Japan
  • PHP 5 技術者認定上級試験 認定者
  • 統計検定 3 級