[보안] 웹 서버 보안 설정

 

 

 

 

 

웹 서버 보안 설정

 

 

1. Apache 웹 서비스 관리

 

 

 

1. Apache 디렉터리 리스팅 제거

 

 

 

2. Apache 웹 프로세스 권한 제한

 

• unix의 경우 웹 서버 데몬이 root 권한으로 운영된다면
   
  ---> 취약점 또는 버퍼 오버플로우로 인해 root권한 획득 가능
  
  
• 양호 : 아파치 데몬이 root권한으로 구동되지 않는 경우
• 취약 : 아파치 데몬이 root권한으로 구동되는 경우

 

 

3. Apache 상위 디렉터리 접근 금지

 

 

 

4. Apache 불필요한 파일 제거

 

• 웹 서버 설치 시 생성되는 매뉴얼 파일은 외부 침입자에게 시스템 정보 및 웹 서버 정보 제공이 가능해 제거 필요
• 양호 : 매뉴얼 파일 및 디렉터리 제거된 경우
• 취약 : 매뉴얼 파일 및 디렉터리가 제거되지 않은 경우

 

 

5. Apache 링크 사용금지

 

• 심볼릭 링크 실행시키면 다른 경로에 있는 파일을 강제로 실행시키는 것이 가능
• 그래서 기존의 웹 문서 이외의 파일시스템 접근이 가능하도록 하고 있음
• 편의성은 제공하지만 일반 사용자들도 시스템 중요 파일에 접근할 수 있는 보안 문제 발생

 

 

 

6. Apache 파일 업로드 및 다운로드 제한

 

• 불필요한 파일 업로드, 다운로드 시 대량의 업로드 등 다운로드로 인한 서비스 불능상태 발생 가능
• 불필요한 업로드 & 다운로드 --> 허용 제한

 

 

 

 

7. Apache 웹 서비스 영역 분리

 

• 아파치 설치 시 htdocs 디렉터리가 Documentroot로 사용되는 데 공개되면 안되므로 변경해야 함

 

 

 

 

8. Apache 웹서비스 정보 숨김

 

• 불필요한 정보가 노출되지 않도록 해야함 -> 에러페이지, 웹 서버 종류, 사용자 계정 등...
• 헤더에 최소한의 정보 제한 후 전송해주기

 

 

 

 

---

 

 

 

 

 

2. IIS 웹 서비스 관리

 

 

 

1. IIS 서비스 구동 점검

 

2. IIS 디렉터리 리스팅 제거

 

3. IIS CGI 실행 제한

 

4. IIS 상위 디렉터리 접근 금지

 

5. IIS 파일 업로드 및 다운로드 제한

 

6. IIS 데이터 파일 ACL 적용

 

7. IIS WebDAV 비활성화

 

8. IIS 웹 서비스 정보 숨김

 

 

 

 

 

*****갑자기 참고****      OWASP Secure Header는 설정해주면 좋음    국내 금융권을 중심으로 해나가는 중이지만 아직까지 국내에서는 설정안해준 곳들이 대다수    항상 최신기술들을 익혀두는 것이 좋기때문에    여러 보안 뉴스들을 보는 것을 권장