겉바속촉
[보안] 웹 서버 보안 설정 본문
728x90
반응형
웹 서버 보안 설정
1. Apache 웹 서비스 관리
1. Apache 디렉터리 리스팅 제거
2. Apache 웹 프로세스 권한 제한
- unix의 경우 웹 서버 데몬이 root 권한으로 운영된다면
---> 취약점 또는 버퍼 오버플로우로 인해 root권한 획득 가능 - 양호 : 아파치 데몬이 root권한으로 구동되지 않는 경우
- 취약 : 아파치 데몬이 root권한으로 구동되는 경우
3. Apache 상위 디렉터리 접근 금지
4. Apache 불필요한 파일 제거
- 웹 서버 설치 시 생성되는 매뉴얼 파일은 외부 침입자에게 시스템 정보 및 웹 서버 정보 제공이 가능해 제거 필요
- 양호 : 매뉴얼 파일 및 디렉터리 제거된 경우
- 취약 : 매뉴얼 파일 및 디렉터리가 제거되지 않은 경우
5. Apache 링크 사용금지
- 심볼릭 링크 실행시키면 다른 경로에 있는 파일을 강제로 실행시키는 것이 가능
- 그래서 기존의 웹 문서 이외의 파일시스템 접근이 가능하도록 하고 있음
- 편의성은 제공하지만 일반 사용자들도 시스템 중요 파일에 접근할 수 있는 보안 문제 발생
6. Apache 파일 업로드 및 다운로드 제한
- 불필요한 파일 업로드, 다운로드 시 대량의 업로드 등 다운로드로 인한 서비스 불능상태 발생 가능
- 불필요한 업로드 & 다운로드 --> 허용 제한
7. Apache 웹 서비스 영역 분리
- 아파치 설치 시 htdocs 디렉터리가 Documentroot로 사용되는 데 공개되면 안되므로 변경해야 함
8. Apache 웹서비스 정보 숨김
- 불필요한 정보가 노출되지 않도록 해야함 -> 에러페이지, 웹 서버 종류, 사용자 계정 등...
- 헤더에 최소한의 정보 제한 후 전송해주기
2. IIS 웹 서비스 관리
1. IIS 서비스 구동 점검
2. IIS 디렉터리 리스팅 제거
3. IIS CGI 실행 제한
4. IIS 상위 디렉터리 접근 금지
5. IIS 파일 업로드 및 다운로드 제한
6. IIS 데이터 파일 ACL 적용
7. IIS WebDAV 비활성화
8. IIS 웹 서비스 정보 숨김
*****갑자기 참고****
OWASP Secure Header는 설정해주면 좋음 국내 금융권을 중심으로 해나가는 중이지만 아직까지 국내에서는 설정안해준 곳들이 대다수 |
728x90
반응형
'IT 일기 (상반기) > 네트워크 및 시스템 보안' 카테고리의 다른 글
[보안] 로그 분석 공격 종류 (0) | 2021.02.02 |
---|---|
[보안] 로그 분석 (0) | 2021.02.02 |
[보안] 정적 분석도구 & 동적 분석도구 (0) | 2021.02.02 |
[보안] Burp Suite_XSS, 프록시, repeater (0) | 2021.02.02 |
[보안] Burp Suite_프록시, repeater (2) | 2021.02.02 |