IT 未分類

Apacheの情報を徹底的に隠蔽する方法

投稿日:

Webサーバーは、常に攻撃のリスクにさらされています。そうした攻撃に有益な情報を与えないためにここでは、Apacheの情報を徹底的に隠蔽する方法を紹介します。

なぜ、隠蔽しないといけないのか

上でも少し述べましたが、悪意ある者に有益な情報を与えないためです。

攻撃者は、無差別にたくさんのサーバーに攻撃を仕掛ける場合がありますが、その場合は失敗する確率も高くなります。なぜなら、nginxで動いているサーバーに、Apache向けの攻撃をしても意味が無いからです。

なので、攻撃者はHTTPレスポンスヘッダなどに含まれる情報などから、OS、サーバーソフトウェア、PHPなどの情報を調査することがあります。

その場合、自ら「私は、Ubuntuです。バージョンはx.x.xです。」などと名乗るのは「どうぞ、攻撃してください。」というようなものです。

しかし、Apacheのデフォルト設定では、とても丁寧に名乗るようになっています。

そのため、隠蔽するように設定しないといけないのです。

徹底的に隠蔽する

404

まず、最初に①を消します。httpd.confを編集してServerTokensをProdに、ServerSignatureをOffにします。そして、Apacheを再起動すると①とレスポンスヘッダーのバージョン情報が消えるはずです。

次に、Indexファイルがないときに不意にディレクトリ一覧が出てきては困るので、Options Indexes FollowSymLinksをOptions -Indexes FollowSymLinksにします。

※PHPをインストールしている人のみ

php.iniを編集してexpose_phpをOffにします。

 

最後に、Apacheを再起動します。

徹底的にといっても、Apacheであることを隠蔽することはできません。

最後に

隠蔽したと言ってもApacheであることは、知られてしまいますし、OSをその特性から調査できるツールもあります。また、無差別に攻撃を受ければ、いつか被害を受ける事になります。

情報の隠蔽は数あるセキュリティー対策のうちの1つです。その他の対策をすることを忘れないようにしましょう。

-IT, 未分類
-,

執筆者:

関連記事

【再延期】「はやぶさ2」打ち上げを12月3日に再延期

【12月2日更新】 以前、はやぶさ2の記事で、はやぶさ2の打ち上げは11月30日とお伝えしていました。 しかし、11月28日に、天候不順で雷の発生が予想され、雷による電子機器へのトラブルが懸念されるた …

no image

WordPressにプラグインFaviconRotatorでFaviconを設定する

このブログ、今までFaviconを設定していなかったのですが、見栄え的にあったほうがいいのかなと思ってプラグインFavicon Rotatorを使って設定してみました。その時の、手順です。 ステップ0 …

no image

404より410のほうが早く消えるのは本当?

そのページがないことに変わりはないのですが、よく、「404(HTTPステータスコードのこと)より410のほうが検索エンジンのインデックスから早く消える。」と聞きます。はたして、どれぐらい違うのかGoo …

no image

ゆうちょダイレクトが届きました

ゆうちょダイレクトを8日に申し込んで今日届きました。1週間ぐらい待ちました(3連休だったというのもあるかも)。これで、わざわざ郵便局に行く必要がなくなります。

10月より携帯電話・PHS間でのMNPスタート! さらに…

10月1日より、今まで携帯電話間でしかできなかったMNP(番号ポータビリティ)にPHSが加わり、キャリアの選択肢が広がりました。 さらに、携帯電話・PHS間のSMS(ショートメッセージサービス)事業者 …