【MacOSX】 Apache初心者質問スレ 【専門】

252 ：DNS未登録さん：2007/09/04(火) 03:14:46 ID:???.net

スレッドを初めから読むと、セキュリティに関してあまり論議されておらず
素人なりに可能な限り勉強して調べてみた。以下の１０項目がそれ。間違っていたら修正よろしく。

１：サーバ用には管理者権限のないアカウントを使用し、タスクごとに別々のアカウントを作成する
　　これで攻撃者がサーバに侵入したとしても、手に入るのはサーバの権限だけになる。
　　しかし、Apacheシステムの権限はrootユーザだけにする。
　　Apacheシステムへのアクセスを許可したら、すべての実行権限を与えてしまうから。

２：すべてのアカウントは、FileVault：オン、安全な仮想メモリ
　　ファイアウォール：ステルスモード、UDPトラフィックをブロック
　　NetBarrier：サーバモード

３：「ライブラリ/WebServer」のところしか使用しない。
　　　すなわち、ユーザフォルダのサイトは使用しない。（FileVaultが使用できなくなるし）
　　　cgiは元より使用しないか、使用するにしてもCGI-Excutables内だけにする。

４：不要な情報は表示しない
　　サーバの情報、ディレクトリの情報、Webアプリケーション（php等）の情報を非表示にする。

５：PHPは使用しない
　　セキュリティホールのありすぎるWebアプリケーションだから。

４：外部からユーザフォルダ等を覗かれないために、想定しているリクエストだけ処理するようにする。
　　エラー等が起こると、思わぬところを表示してしまうことがある。

５：画像を外部から使用されないようにする
　　エラー用画像として透明GIFを使用して、エラーなのかどうなのかすら相手側に判別しづらくする。

６：悪用防止の為にサンプルプログラム削除する
　　例「usr/local/apache/cgi-bin」「htdocs」「manual」

７：アクセス可能なIPを制限し、ダイジェスト認証を設け、
　　https（SSL）通信でログインID＆パスワードを入力させる。

８：総当たり攻撃がされた時に管理者にメール通知されるようにする

９：パーミッションを正しく設定する
　　　.html　.jpg等は、444か644　さらにロックしておく

１０：apacheを最新版にする