반응형
아파치를 사용하는 어플리케이션의 보안 취약점으로 HTTP 응답 헤더 내 서버 정보 노출 항목이 있다.
Linux 환경에서 해당 취약점에 대한 대응 방법을 정리한다.
1. 서버 응답 정보 확인
우선 curl 명령어를 통해 해당 서버의 응답 헤더 정보를 확인한다.
curl -i https://localhost
또는 크롬의 개발자 도구를 이용하여 확인할 수도 있다.
2. 서버 정보 노출 설정
서버 정보 노출 설정을 위하여 Apache 설치 경로 내의 httpd.conf 파일을 찾아 수정한다.
yum으로 설치한 경우 기본 위치는 /etc/httpd/conf/httpd.conf
httpd.conf 파일 내에 다음 두 가지 설정을 찾아 변경하고, 설정 정보가 존재하지 않으면 임의의 위치에 추가한다.
ServerTokens Prod
ServerSignature OffServerTokens 옵션 별 표시되는 서버 정보는 다음과 같다
ServerTokens Full (or not specified) -- 모든 정보 표시
Server sends (e.g.): Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly] -- 서버 이름만 표시
Server sends (e.g.): Server: Apache
ServerTokens Major -- 서버의 major 버전까지 표시
Server sends (e.g.): Server: Apache/2
ServerTokens Minor -- 서버의 minor 버전까지 표시
Server sends (e.g.): Server: Apache/2.4
ServerTokens Min[imal] -- 서버의 minimum 버전까지 표시
Server sends (e.g.): Server: Apache/2.4.2
ServerTokens OS -- 서버의 운영체제까지 표시
Server sends (e.g.): Server: Apache/2.4.2 (Unix)ServierSignature 옵션은 웹브라우저에서 서버의 버전 정보를 노출 할지 여부를 설정한다.
설정이 끝났다면 Apache를 재시작 하고 응답 헤더의 서버 정보를 다시 확인한다.
systemctl restart httpd
