Welcome to

Welcome to tokoo.net

Home

日々の更新
System

Network

Server
(2003/2/3)
Kernel
H.323
Apache
(2001/7/3)
Dynamic DNS
(2003/2/17)
Private

何かお気づきの点が
ございましたら
mitsuまで

 

 

Apache 1.3 httpd.conf のデフォルトと異なる設定

前の日記にあるとおり、外部からの勝手なアクセスに対抗するための設定である。基本方針は
    Apacheの細かいバージョンを外部に教えない。
    どんなモジュールをインストールしているかを外部に教えない。

設定 default コメント
ServerTokens Prod (Full) FullだとApacheのバージョン名やインストールされているモジュール名がNetcraftで表示されてしまう。これは特定のバージョンやモジュールで深刻なセキュリティホールが見つかった時ひどい目にあう可能性が高い。Prodにすると、Apacheとしか出なくなる。
ちなみにNetcraftがやっているのは「HEAD / HTTP/1.0」である。telnet localhost 80でもやって、確かめてみると良いと思う。
Deny from XX (なし) XXは変なアクセスに来るサーバー名。access_log を見て不審なアクセスについてはこれで排除。open proxy狙いと思われるアクセスがあったため、記載している。
ErrorDocument 400 "The server made a boo boo. (なし) エラーメッセージのカスタマイズ。わざとエラーを起こさせるアクセスが時々あるが、これはデフォルトでhttpサーバーとバージョン名を取得するのに使っていると思われる。考えられるエラーは一応カスタムメッセージを作ることで、漏洩を防止している。
ErrorDocument 403 "The server made a boo boo.  (なし) 同上
Document Root YYY /usr/local/apache/htdocs htmlページはApacheではデフォルトで左記のディレクトリに置かれる。このデフォルトはまずいと思う。というのはインストール状態を知っている人ならばこの下にデフォルトでどのようなサブディレクトリがあるかを知っており、ディレクトリアクセスすることで容易にバージョン名を知ることができるからだ(ま、これを抑制するのが筋のような気もするが)。