Open Source Software Forum

１．root のリモートログイン(SSH)禁止設定します
# vi /etc/ssh/sshd_config
PermitRootLogin no

２．SSH ポート番号を変更します
例えばSSH のポート番号を 22 番から 10022 番に変更します。
ファイアウォール設定でポート10022/TCP (publicゾーン・永続)を追加します。
ファイアウォールのリスタート
# firewall-cmd --reload
SSH ポート番号を変更
# vi /etc/ssh/sshd_config
#Port 22
Port 10022
# systemctl restart sshd.service
10022ポートでsshアクセスしてログインできればＯＫ
ファイアウォール設定でサービスSSH (publicゾーン・永続)を削除します。
ファイアウォールのリスタート
# firewall-cmd --reload
以後puttyなどでのSSHアクセスは10022ポートで行います！

３．Apache のバージョンや OS の情報を出力しないようにします
エラー画面にサーバー情報を表示しないようにする
# vi /etc/httpd/conf/httpd.conf
ServerSignature Off

レスポンスヘッダーにサーバー情報が出力されないようにします
# vi /etc/httpd/conf/httpd.conf
ServerTokens ProductOnly

４．Apache のディレクトリリスティングを無効にします
Apache のディレクトリリスティングを無効にするには、Web サイトの設定ファイル(httpd.conf)のエイリアスの設定から、Indexes というキーワードを削除します。
デフォルトで複数のエイリアスに Indexes が存在するので確実に削除
# vi /etc/httpd/conf/httpd.conf
下記の Indexes があるエイリアスを見つけ、Indexes を削除して保存します
Options  MultiViews FollowSymLinks

５．その他の追加設定
# vi /etc/httpd/conf/httpd.conf
・クリックジャッキング攻撃を防止する設定で、自身と生成元が同じフレーム内に限り、ページを表示することができます。サイトの中によそのサイトのWebページを張り付けている場合は、これを設定すると表示できなくなることがあります。
Header set X-Frame-Options "SAMEORIGIN"

・sniffingを防止します

Header always set X-Content-Type-Options nosniff

・SSL化してもhttpでアクセスされる場合があり、それを防ぐ仕組みとしてサーバー側でHTTPSで必ず接続するようにとブラウザに指示します

Header set Strict-Transport-Security " max-age=31536000; includeSubDomains"

・Webブラウザのクロスサイトスクリプティング（XSS）に対するフィルタ機能を強制的に有効にします

Header set X-XSS-Protection "1; mode=block"

・Webページのキャッシュを残さないようにします

Header set Cache-Control "no-store, no-cache, must-revalidate, max-age=0"

・キャッシュさせないようにします

Header set Pragma "no-cache"

６．Apache の Trace メソッドを無効にします
# vi /etc/httpd/conf/httpd.conf
ファイルの最終行あたりに、以下の内容を追加します。
TraceEnable Off

７．rootになれるユーザ（例 sampleuser）を限定します wheelグループに所属ユーザーのみ可能
# usermod -G wheel sampleuser

# vi /etc/pam.d/su
#auth           required        pam_wheel.so use_uid
↓
auth           required        pam_wheel.so use_uid

８．PHP Creditの隠蔽します
# vi /etc/php.ini
下記を追加します
expose_php = Off

９．Webページの表示動作を確認します
  # curl -I http://FQDN/index.php
PHPバージョンなどが表示されなければＯＫ

特定ページにアクセスするとディレクトリ内のファイル名が表示される対策。
index.htmlファイルを作りサイトトップページにジャンプさせるようにします。
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8" />
<meta http-equiv="refresh" CONTENT="0;URL=.FQDN/index.php">
</head>
</html>