Apache2.4セキュリティ「デフォルトコンテンツ対策」
- 公開:
- 更新:
- カテゴリ: linux Apache
- タグ: Linux,CentOS,Apache,Security,httpd,2.4,7.2,DefaultContent
Apacheがデフォルトで表示させているページがあります。それ自体には重大な脆弱性があるわけではありませんが、 本来表示されなくても良いものなので非表示にしておきましょう。
尚、ここに示す手順の環境はCentOS7、Apache2.4の場合です。
Apache 2.4 デフォルトコンテンツページ
対策としては、デフォルトコンテンツを移動させるか、削除させる事で、デフォルトページを非表示に出来ます。
具体的には、/etc/httpd/conf.d/配下にあるwelcome.confがデフォルトコンテンツを表示させているので、 confファイルをリネームしてしまえば良い。という事になります。
welcome.confのあるディレクトリに移動し、ファイルをリネームします。
# welcome.conf のあるディレクトリへ移動
cd /etc/httpd/conf.d/
# mvコマンドでリネーム
mv welcome.conf _welcome.conf
llコマンドでファイル名が変わった事を確認
# リネーム前
[root@localhost conf.d]# ll
-rw-r--r--. 1 root root 2926 Apr 12 21:03 autoindex.conf
-rw-r--r--. 1 root root 1245 Aug 2 10:21 php.conf
-rw-r--r--. 1 root root 366 Apr 12 21:04 README
-rw-r--r--. 1 root root 9438 Apr 12 13:50 ssl.conf
-rw-r--r--. 1 root root 1252 Apr 12 13:50 userdir.conf
-rw-r--r--. 1 root root 824 Apr 12 13:50 welcome.conf ←ここが
↓
# リネーム後
[root@localhost conf.d]# ll
-rw-r--r--. 1 root root 2926 Apr 12 21:03 autoindex.conf
-rw-r--r--. 1 root root 1245 Aug 2 10:21 php.conf
-rw-r--r--. 1 root root 366 Apr 12 21:04 README
-rw-r--r--. 1 root root 9438 Apr 12 13:50 ssl.conf
-rw-r--r--. 1 root root 1252 Apr 12 13:50 userdir.conf
-rw-r--r--. 1 root root 824 Apr 12 13:50 _welcome.conf ←リネームされていることを確認
httpdを再起動します。
# systemctl restart httpd.service
ブラウザからアクセスして画面を確認
デフォルトページが表示されなくなりました。
開発環境では気にしなくても良い部分でもあり、
本番環境でもアプリケーションを乗せてしまえば出てくるところではありませんが、
こういった細かい部分まで気を配り、設定を行っていくことが、
穴のないチューニングやセキュリティ対策につながると思います。
ただ、、このApacheのデフォルトページ、かっこいいので個人的には好きなんですけどね。笑