(23) CentOS セキュリティー向上設定
1.root のリモートログイン(SSH)禁止設定します # vi /etc/ssh/sshd_config PermitRootLogin no
2.SSH ポート番号を変更します 例えばSSH のポート番号を 22 番から 10022 番に変更します。 ファイアウォール設定でポート10022/TCP (publicゾーン・永続)を追加します。 ファイアウォールのリスタート # firewall-cmd --reload SSH ポート番号を変更 # vi /etc/ssh/sshd_config #Port 22 Port 10022 # systemctl restart sshd.service 10022ポートでsshアクセスしてログインできればOK ファイアウォール設定でサービスSSH (publicゾーン・永続)を削除します。 ファイアウォールのリスタート # firewall-cmd --reload 以後puttyなどでのSSHアクセスは10022ポートで行います!
3.Apache のバージョンや OS の情報を出力しないようにします エラー画面にサーバー情報を表示しないようにする # vi /etc/httpd/conf/httpd.conf ServerSignature Off
レスポンスヘッダーにサーバー情報が出力されないようにします # vi /etc/httpd/conf/httpd.conf ServerTokens ProductOnly
4.Apache のディレクトリリスティングを無効にします Apache のディレクトリリスティングを無効にするには、Web サイトの設定ファイル(httpd.conf)のエイリアスの設定から、Indexes というキーワードを削除します。 デフォルトで複数のエイリアスに Indexes が存在するので確実に削除 # vi /etc/httpd/conf/httpd.conf 下記の Indexes があるエイリアスを見つけ、Indexes を削除して保存します Options MultiViews FollowSymLinks
5.その他の追加設定 # vi /etc/httpd/conf/httpd.conf ・クリックジャッキング攻撃を防止する設定で、自身と生成元が同じフレーム内に限り、ページを表示することができます。サイトの中によそのサイトのWebページを張り付けている場合は、これを設定すると表示できなくなることがあります。 Header set X-Frame-Options "SAMEORIGIN" ・sniffingを防止します
Header always set X-Content-Type-Options nosniff ・SSL化してもhttpでアクセスされる場合があり、それを防ぐ仕組みとしてサーバー側でHTTPSで必ず接続するようにとブラウザに指示します Header set Strict-Transport-Security " max-age=31536000; includeSubDomains" ・Webブラウザのクロスサイトスクリプティング(XSS)に対するフィルタ機能を強制的に有効にします
Header set X-XSS-Protection "1; mode=block" ・Webページのキャッシュを残さないようにします
Header set Cache-Control "no-store, no-cache, must-revalidate, max-age=0" ・キャッシュさせないようにします
Header set Pragma "no-cache" 6.Apache の Trace メソッドを無効にします # vi /etc/httpd/conf/httpd.conf ファイルの最終行あたりに、以下の内容を追加します。 TraceEnable Off 7.rootになれるユーザ(例 sampleuser)を限定します wheelグループに所属ユーザーのみ可能 # usermod -G wheel sampleuser # vi /etc/pam.d/su #auth required pam_wheel.so use_uid ↓ auth required pam_wheel.so use_uid 8.PHP Creditの隠蔽します # vi /etc/php.ini 下記を追加します expose_php = Off 9.Webページの表示動作を確認します # curl -I http://FQDN/index.php PHPバージョンなどが表示されなければOK 特定ページにアクセスするとディレクトリ内のファイル名が表示される対策。 index.htmlファイルを作りサイトトップページにジャンプさせるようにします。 <html> <head> <meta http-equiv="content-type" content="text/html; charset=UTF-8" /> <meta http-equiv="refresh" CONTENT="0;URL=.FQDN/index.php"> </head> </html>
|
|
|
|
|
|
最終更新日時: 2023年 10月 13日(金曜日) 10:45