RitoLabo

Apache2.4セキュリティ「デフォルトコンテンツ対策」

  • 公開:
  • 更新:
  • カテゴリ: linux Apache
  • タグ: Linux,CentOS,Apache,Security,httpd,2.4,7.2,DefaultContent

Apacheがデフォルトで表示させているページがあります。それ自体には重大な脆弱性があるわけではありませんが、 本来表示されなくても良いものなので非表示にしておきましょう。

尚、ここに示す手順の環境はCentOS7、Apache2.4の場合です。

Apache 2.4 デフォルトコンテンツページ
Aoache 2.4 デフォルトコンテンツページ

対策としては、デフォルトコンテンツを移動させるか、削除させる事で、デフォルトページを非表示に出来ます。


具体的には、/etc/httpd/conf.d/配下にあるwelcome.confがデフォルトコンテンツを表示させているので、 confファイルをリネームしてしまえば良い。という事になります。

welcome.confのあるディレクトリに移動し、ファイルをリネームします。 

# welcome.conf のあるディレクトリへ移動
cd /etc/httpd/conf.d/
# mvコマンドでリネーム
mv welcome.conf _welcome.conf

llコマンドでファイル名が変わった事を確認 

# リネーム前
[root@localhost conf.d]# ll
-rw-r--r--. 1 root root 2926 Apr 12 21:03 autoindex.conf
-rw-r--r--. 1 root root 1245 Aug  2 10:21 php.conf
-rw-r--r--. 1 root root  366 Apr 12 21:04 README
-rw-r--r--. 1 root root 9438 Apr 12 13:50 ssl.conf
-rw-r--r--. 1 root root 1252 Apr 12 13:50 userdir.conf
-rw-r--r--. 1 root root  824 Apr 12 13:50 welcome.conf  ←ここが

# リネーム後
[root@localhost conf.d]# ll
-rw-r--r--. 1 root root 2926 Apr 12 21:03 autoindex.conf
-rw-r--r--. 1 root root 1245 Aug  2 10:21 php.conf
-rw-r--r--. 1 root root  366 Apr 12 21:04 README
-rw-r--r--. 1 root root 9438 Apr 12 13:50 ssl.conf
-rw-r--r--. 1 root root 1252 Apr 12 13:50 userdir.conf
-rw-r--r--. 1 root root  824 Apr 12 13:50 _welcome.conf  ←リネームされていることを確認

httpdを再起動します。


# systemctl restart httpd.service

ブラウザからアクセスして画面を確認

画面確認

デフォルトページが表示されなくなりました。

開発環境では気にしなくても良い部分でもあり、 本番環境でもアプリケーションを乗せてしまえば出てくるところではありませんが、 こういった細かい部分まで気を配り、設定を行っていくことが、 穴のないチューニングやセキュリティ対策につながると思います。
ただ、、このApacheのデフォルトページ、かっこいいので個人的には好きなんですけどね。笑