[Apache] 보안 설정 진단
본 보안 가이드는 KISA에서 업로드한 2024 클라우드 보안 진단 가이드를 토대로 작성합니다.
직접 보안조치를 하는 과정이 포함되며,
보안 컨설팅을 다니며 경험했던 내용이 조금 들어갈 수 있습니다.
(NginX 와 결이 거의 같으므로 NginX 는 진행하지 않습니다.)
(이 과정을 본 후 개념이 이해가 됐다면 가이드를 보셔도 전혀 지장이 없으실듯)
보안 취약점 진단 및 조치
KISA에서 제공한 2024 클라우드 진단 가이드 기반
1. 웹 서비스 영역의 분리
취약점 설명 Apache 설치시 기본적으로 설치되는 경로가 있다. /var/www/html 공격자가 대상의 웹서버가 Apache를 사용한다는걸 인지하고 있다면, 혹은 ...
2. 불필요한 파일 제거
취약점 설명 어찌보면 당연한 이야기, 기본적으로 생성되는 메뉴얼 파일을 제거 및 테스트용으로 만들어둔 더미 파일들이 존재하지 않나 체크하면 된다. 딴소리 진단 스...
3. 링크 사용 금지
취약점 설명 심볼릭 링크는 윈도우의 바로가기 와 같은 맥락의 기능이다. 웹 서비스에선 기본적으로 DocumentRoot 디렉터리 보다 상위 디렉터리로 접근하는 것을 차...
4. 파일 업로드 및 다운로드 제한
취약점 설명 업/다운로드 용량을 지정하지 않을 경우 악의적으로 대용량, 혹은 수많은 파일들을 업/다운로드 해 서비스 운영에 영향을 줄 수 있다. 딴소리 용량을 꼭...
5. 디렉터리 리스팅 제거
취약점 설명 디렉터리 리스팅의 경우 특정 파일이 아닌 디렉터리 경로로 진입했을 경우 해당 디렉터리의 파일들을 보여주는 설정이다. (www.test.com/main.ph...
6. 웹 프로세스 권한 제한
취약점 설명 apache 서버 데몬이 root 권한으로 운영될 경우 불필요하게 과도한 권한을 가지고 있으며, 다른 취약점들을 통해 root 권한을 획득 할 수 있으므로 ...
7. 최신 보안 패치 적용
취약점 설명 대부분의 서비스 진단 시 포함되어 있는 항목이다. EOS 날짜를 확인 후 보안패치가 진행되고 있는 버전을 사용 중인지 확인한다. 진단 방법 아래 ...
외전. 버전정보 숨김 처리
취약점 설명 웹서비스를 운영할 경우 존재하지 않는 디렉터리, 파일 등에 접근하게 되면 Not Found 페이지가 출력된다. 별도의 설정이 없을 경우 Apache의 버전...
취약점 시연
해당 서비스의 취약점들을 시연합니다.