Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

Linux

2014年1月18日
Apache の Trace メソッドを無効にする

はじめに Apache では、デフォルトで Trace メソッドが有効になっています。 Web アプリケーションにクロスサイトスクリプティングの脆弱性がある場合に、Web サーバーで Trace メソッドが有効になっていると、クロスサイトトレーシングという脆弱性が発生する可能性があります。 クロスサイトトレーシングの脆弱性があると、暗号化されていない Basic 認証の ID やパス...
>>続きを読む

2014年1月18日
Apache のバージョンや OS の情報を出力しないようにする

はじめに Apache のデフォルトの設定だと、Apache のバージョンや OS などのサーバー情報がユーザーに公開されてしまいます。 セキュリティ対策の基本としては、バージョンなどが分かったとしても安全であることが基本ですが、攻撃者に情報をあえて渡す必要もありません。 この記事では、Apache のバージョンや OS などのサーバー情報を出力しないようにする設定をご紹介します。 ...
>>続きを読む

2014年1月18日
CentOS で root の リモートログイン(SSH)を禁止する

はじめに root ユーザーで SSH のリモートログインができると便利なのですが、不正ログインされた場合の影響が大きいので、root ユーザーの リモートログインを禁止します。 なお、事前に、root 権限を持ったユーザーを 必ず 作成しておく必要があります。 詳しくは以下の記事を参照してください。 CentOS で root 権限を持ち、sudo を実行できるユーザーを作...
>>続きを読む

2014年1月18日
CentOS で root 権限を持ち、sudo を実行できるユーザーを作成する

はじめに root ユーザーは全ての設定を行うことができますが、共通アカウントとして利用してしまうと、誰が、いつ、どのような設定を行ったか分からなくなってしまいます。 ですので、ユーザーごとにログインアカウントを用意し、必要ならば、そのユーザーに root 権限を付けたり、sudo コマンドを実行できる権限を付けるようにします。 この記事では、新規ユーザーに、root 権限を付与し、...
>>続きを読む

2014年1月17日
Apache のディレクトリリスティングを無効にする

ディレクトリリスティングとは ディレクトリリスティングとは、URL でディレクトリを指定すると、ディレクトリに含まれるファイル一覧を表示する Web サーバー(Apache, IIS 等) の機能です。 具体的には、ディレクトリを URL で指定すると、下図のようにファイル一覧が表示されます。 ファイルをダウンロードする Web サイトでは問題ありませんが、一般的な Web ...
>>続きを読む