Apache2.4セキュリティ「デフォルトコンテンツ対策」

Apache がデフォルトで表示させているページがあります。それ自体には重大な脆弱性があるわけではありませんが、 本来表示されなくても良いものなので非表示にしておきましょう。

尚、ここに示す手順の環境は CentOS7, Apache2.4 の場合です。

Apache 2.4 デフォルトコンテンツページ

対策としては、デフォルトコンテンツを移動させるか、削除させる事で、デフォルトページを非表示に出来ます。

具体的には、/etc/httpd/conf.d/配下にある welcome.conf がデフォルトコンテンツを表示させているので、conf ファイルをリネームしてしまえば良い。という事になります。

welcome.conf のあるディレクトリに移動し、ファイルをリネームします。

# welcome.conf のあるディレクトリへ移動
cd /etc/httpd/conf.d/
# mv コマンドでリネーム
mv welcome.conf _welcome.conf

ll コマンドでファイル名が変わった事を確認

# リネーム前
[root@localhost conf.d]# ll
-rw-r--r--. 1 root root 2926 Apr 12 21:03 autoindex.conf
-rw-r--r--. 1 root root 1245 Aug  2 10:21 php.conf
-rw-r--r--. 1 root root  366 Apr 12 21:04 README
-rw-r--r--. 1 root root 9438 Apr 12 13:50 ssl.conf
-rw-r--r--. 1 root root 1252 Apr 12 13:50 userdir.conf
-rw-r--r--. 1 root root  824 Apr 12 13:50 welcome.conf  ←ここが

↓

# リネーム後
[root@localhost conf.d]# ll
-rw-r--r--. 1 root root 2926 Apr 12 21:03 autoindex.conf
-rw-r--r--. 1 root root 1245 Aug  2 10:21 php.conf
-rw-r--r--. 1 root root  366 Apr 12 21:04 README
-rw-r--r--. 1 root root 9438 Apr 12 13:50 ssl.conf
-rw-r--r--. 1 root root 1252 Apr 12 13:50 userdir.conf
-rw-r--r--. 1 root root  824 Apr 12 13:50 _welcome.conf  ←リネームされていることを確認

httpd を再起動します。

# systemctl restart httpd.service

ブラウザからアクセスして画面を確認

デフォルトページが表示されなくなりました。

開発環境では気にしなくても良い部分でもあり、 本番環境でもアプリケーションを乗せてしまえば出てくるところではありませんが、 こういった細かい部分まで気を配り、設定を行っていくことが、 穴のないチューニングやセキュリティ対策につながると思います。
ただ、、この Apache のデフォルトページ、かっこいいので個人的には好きなんですけどね。笑