最近ではNginxを使用することも増えてますが、CentOSでApacheを構築した時に忘れがちながセキュリティ設定のメモ。
今回はCentOS7で。
セキュリティ設定用のファイルを新規で作成
1 | $ vi /etc/httpd/conf.d/security.conf |
security.confに以下を記述
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | #ResponseHeader に含まれるServerの情報を非表示 ServerTokens Prod #エラー画面に表示されるApacheのバージョン情報を非表示 ServerSignature Off #PHPのバージョン情報も非表示 Header unset X-Powered-By #httpoxy 対策 RequestHeader unset Proxy # クリックジャッキング対策 Header append X-Frame-Options SAMEORIGIN # XSS対策 Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff # XST対策 TraceEnable Off |
ディレクトリ一覧を表示させないようにautoindex.confの中を空に
1 | $ cat /dev/null > /etc/httpd/conf.d/autoindex.conf |
index.htmlがない場合、ウェルカムページが表示されるので、welcome.confの中を空にして非表示に
1 | $ cat /dev/null > /etc/httpd/conf.d/welcome.conf |
PHPのphp.iniにも念のためHTTPヘッダにPHPのバージョンが非表示になるように設定。
1 | expose_php = Off |
Apacheの再起動
1 | $ systemctl restart httpd |