Apacheで不要なモジュールはロードしない(6)mod_info、mod_status

Apacheのmod_info、mod_statusモジュールを適切に設定していない場合、情報が漏れて不正アクセスに利用される恐れがあります。
 
下記サイトを参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
 

mod_info


 
このモジュールによって、Webサーバーの設定情報を表示する事が出来ます。
 
●設定例
 
有効にする場合は下記設定例のように閲覧できるホストを制限するようにアクセスコントロールの設定をするべきです。
 

<Location /server-info>
  SetHandler server-info
  Order deny,allow
  Deny from all
  Allow from www.example.com
</Location>

 
●推奨設定
 
情報が漏れて不正アクセスに利用される恐れがあるので、必要なければモジュールをロードしないようにします。
 
#LoadModule info_module modules/mod_info.so
 

mod_status


 
このモジュールによって、Webサーバーの性能情報、統計情報をリアルタイムに表示する事が出来ます。
 
●表示できる情報
 
・リクエストを扱っているワーカーの数
・アイドルワーカーの数
・各ワーカーの状態、ワーカーが扱ったリクエストの数、 ワーカーが送った総バイト数
・総アクセス数と総バイト数
・サーバが起動もしくは再起動された時刻と動作している時間
・平均の 1 秒あたりのリクエスト数、1 秒あたりの送られたバイト数、 リクエストあたりのバイト数
・各ワーカーと Apache 全体で使用されている CPU の割合
・現時点のホストと処理されているリクエスト
 
●設定例

<Location /server-status>
    SetHandler server-status
    Order deny,allow
    Deny from all
    Allow from .example.com
</Location>

 
●設定の推奨
 
情報が漏れて不正アクセスに利用される恐れがあるので、必要なければモジュールをロードしないようにします。
 
#LoadModule status_module modules/mod_status.so
 
必要があって使用する場合は、ステータス情報を閲覧できるホストを制限するなどセキュリティを考慮して設定します。

関連記事の目次

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です