RitoLabo

カテゴリ Apache

Apache2.4セキュリティ「ApacheとPHPのバージョン表示を無効にする」

  • linux

ApacheやPHPはデフォルトではバージョンの取得(=表示)が有効になっています。Apacheのバージョンが第三者に分かってしまうと、脆弱性が発見された時にドンピシャのバージョンであったりすると、攻撃の標的になり被害を被るリスクが高まりますので、非表示にしてしまいます。

Apache2.4セキュリティ「mod_headersモジュールでX-Frame-Optionsレスポンスヘッダの設定を行いクリックジャッキング攻撃対策を行う」

  • linux

WEBサーバのセキュリティ対策とは、常に小さな事の積み重ねですが、X-Frame-Options HTTPレスポンスヘッダとは、外部サイトからのiframeの読み込み許可範囲を設定できるものです。この設定を行う事で、クリックジャッキング攻撃対策を行う事が出来ます。

Apache2.4セキュリティ「HTTP TRACEメソッドを無効化しCross-SiteTracing(XST = クロスサイトトレーシング)対策を行う」

  • linux

Apacheはデフォルトで「HTTP TRACEメソッド」という機能が有効になっています。この機能が有効な場合、サイトにXSS(クロスサイトスクリプティング)の脆弱性があった場合、Cross-Site Tracing(XST)という攻撃リスクが高まる可能性がありますので、無効化します。

Apache2.4セキュリティ「iconsディレクトリ対策」を行い、不要なコンテンツ表示を無効化する

  • linux

iconsディレクトリは、デフォルトコンテンツで使う画像などが設置されているディレクトリです。デフォルトページを非表示にした場合不要なディレクトリとなりますが、このディレクトリが有効な場合、そこに含まれるREADMEファイルなども表示されてしまうので無効化してしまいましょう。

【WEBアプリ高速化】Apacheのキャッシュモジュール「mod_expires」「mod_cache」「mod_cache_disk」を使いキャッシュを設定する

  • linux

【WEBサイト表示速度高速化シリーズ第二段】今回は、Apacheのキャッシュモジュールである「mod_expires」「mod_cache」「mod_cache_disk」を使い、クライアントサイド(ブラウザ)キャッシュとサーバーサイドキャッシュを設定します。静的リソースのHTTPヘッダー内で、有効期日や最大経過時間を設定すると…