サーバー

Apacheのセキュリティ設定

By: Takeru Ueda

Date:

Share post:

最近ではNginxを使用することも増えてますが、CentOSでApacheを構築した時に忘れがちながセキュリティ設定のメモ。
今回はCentOS7で。

セキュリティ設定用のファイルを新規で作成

$ vi /etc/httpd/conf.d/security.conf

security.confに以下を記述

#ResponseHeader に含まれるServerの情報を非表示
ServerTokens Prod

#エラー画面に表示されるApacheのバージョン情報を非表示
ServerSignature Off

#PHPのバージョン情報も非表示
Header unset X-Powered-By

#httpoxy 対策
RequestHeader unset Proxy

# クリックジャッキング対策
Header append X-Frame-Options SAMEORIGIN

# XSS対策
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff

# XST対策
TraceEnable Off

ディレクトリ一覧を表示させないようにautoindex.confの中を空に

$ cat /dev/null > /etc/httpd/conf.d/autoindex.conf

index.htmlがない場合、ウェルカムページが表示されるので、welcome.confの中を空にして非表示に

$ cat /dev/null > /etc/httpd/conf.d/welcome.conf

PHPのphp.iniにも念のためHTTPヘッダにPHPのバージョンが非表示になるように設定。

expose_php = Off

Apacheの再起動

$ systemctl restart httpd

前の記事
結構ハマったPowerCMSのCopy2Publicプラグイン設定
次の記事
コーディングを円滑にすすめる15のデザインルール
Takeru Ueda
Takeru Ueda

Related articles

バックエンド

ローカルSMTPメールサーバ(Mailpit)をE...

ローカル環境でのメール送受信テストにつ...
バックエンド

EC-CUBE 4系のプラグイン開発について その...

今回は、ちょっとハマったプラグインのイ...
バックエンド

EC-CUBE 4系のプラグイン開発について その...

前回のブログの最後でちょっと書いたので...
バックエンド

EC-CUBE 4系のプラグイン開発について その...

前回、プラグインを一旦有効化させて管理...
© WETCH Co. Ltd.