Webサーバーののアクセスログのサイズが非常に大きくなっていたので中身を確認すると/wp-login.phpに大量のアクセスがありました。
続きを読む
アーカイブ
modsecurityの設定方法と設定例
HostnameLookupsを有効にして名前解決を行う場合のApacheパフォーマンスに与える影響
Apacheに関するLinux側のセキュリティ設定(パーミッション、iptables、chroot)
CentOS上でApacheを使用していますが、OS側で行うApacheに関わるセキュリティ設定についてまとめました。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
続きを読む
セキュリティを考慮した/etc/php.iniの設定
PHPの設定ファイル/etc/php.iniでセキュリティ上考慮する必要がる設定項目を確認しました。
※参考資料
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
# セーフモードを有効にする。(注意:セーフモードはPHP 5.3.0で非推奨となり、PHP 5.4.0で削除)
safe_mode = On
# PHPがセーフモードで動作する場合、system()やその他のプログラム実行関数をこのディレクトリ以外で起動することは拒否。
safe_mode_exec_dir = php-required-executables-path
# エラーメッセージをサーバーのエラーログまたはerror_logに記録しない。
display_errors = Off
# ここに書かれたプレフィックスで始まる環境変数だけをユーザーが変更できるようにする。
safe_mode_allowed_env_vars = PHP_
# PHPのバージョン情報などを表示しない
expose_php = Off
# すべてのエラーをログ記録する。
log_errors = On
# EGPCS(Environment、GET、POST、Cookie、Server)変数をグローバル変数として登録しない。(注意:PHP 5.3.0で非推奨となり、 PHP 5.4.0 で削除)
register_globals = Off
# POSTデータに許可される最大サイズを最小限にする
post_max_size = 1K
# CGIとしてPHPを実行する際にセキュリティを確保するのに必要
cgi.force_redirect = 0
# 必要なければHTTPファイルアップロードを無効にする
file_uploads = Off
# URL対応のfopenラッパーが使用可能となり、ファイルのようにURLオブジェクトをアクセスできるようになる設定。許可しない。
allow_url_fopen = Off
# オンにすると、デフォルト値が指定されているデータベース接続関数は、引数で指定された値よりもデフォルト値を優先して使用
sql.safe_mode = On
DoS攻撃からWebサーバーを保護するApacheモジュール
DoS攻撃からWebサーバーを保護するApacheモジュールについて確認しました。下記資料で紹介されているモジュールを確認してみました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
続きを読む
NessusでVPSサーバーの脆弱性診断 Apache ディレクトリ内一覧表示
NessusでVPSサーバー(CentOS6.2)の脆弱性診断を行った際、重要度は”Info”ですが、Webサイトのコンテンツを保持しているディレクトリ内の情報が見られる状態になっているという脆弱性がありました。
続きを読む
VPS(レンタル)サーバー上のApache初期設定確認
VPSサーバーのApacheの初期設定状態を確認し、セキュリティ的に問題のある設定項目は修正します。
管理人の環境は、”お名前.com”のVPSサーバーでCentOS6.2です。
続きを読む