Curiouser and curiouser

최대 1 분 소요

보안취약점 조치 권고 사항 Apache 응답 헤더에서 서버 버전을 최소화하는 설정

작업 전

Before 기본 설정값에선 서버 정보와 Apache 버전 정보 등이 출력된다.

1. ServerTokens 설정 변경

  • ServerTokens Full → Apache 버전, 운영체제 정보까지 포함 (예: Apache/2.4.57 (Rocky Linux))
  • ServerTokens OS → 운영체제 정보까지 포함 (예: Apache/2.4.57 (Unix))
  • ServerTokens Minor → 세부 버전 포함 (예: Apache/2.4)
  • ServerTokens Prod → “Apache”만 표시됨 (보안 권장)

2. ServerSignature 설정 변경

  • On → Apache 에러 페이지 및 디렉터리 목록에서 서버 정보 노출 (예: Apache/2.4.57 (Rocky Linux))
  • Off → 서버 정보 숨김 (보안 권장)

3. Header unset을 이용한 추가 정보 제거(미적용)

mod_headers 모듈을 사용하는 방법도 있다고 하는데 해보진 않았다(참고용)

/etc/httpd/conf/httpd.conf
...

<IfModule mod_headers.c>
    Header unset Server
    Header always unset X-Powered-By
</IfModule>

httpd.conf 수정

/etc/httpd/conf/httpd.conf

...

# 보안취약점 조치 (apache 정보 표시 제한)
ServerTokens Prod
ServerSignature Off

Apache 재시작

# 설정 파일 문법 확인 
sudo apachectl configtest 
# Syntax OK 확인

# Apache 재시작 
sudo systemctl restart httpd

After 이제 Server 의 출력 값이 Apache로만 나오는 것을 확인할 수 있다.

댓글남기기

참고

RHCSA Certification

3 분 소요

RHCSA(Red Hat Certified System Administrator)란?

Ansible Playbook Example Find log4j.jar

1 분 소요

배경 운영중인 시스템의 고객(기관)에게서 보안조치 권고 공문이 왔다. 각 서버에 접속하여 log4j.jar 파일이 있는지부터 확인하게 됐다. 해당 취약점은 2021년에 큰 이슈가 된 것 같고 자바와 관련된 프로그램 같은 것들은 거의 연관돼있어서 더욱 영향이 컸던 것 같다. Apac...

PARA Folder Structure

10 분 소요

제텔카스텐과 관련된 내용을 종종 찾아보다가 알게 된 PARA 기법을 obsidian에서 사용해보려고 한다.