昨年末からいろいろあって、全てのWEBサーバのセキュリティ診断を行っています。
診断は、業界では有名なLAC社に委託をしているので、技術力は問題無いのですが、その指摘の細かさに驚きつつ、そんな穴誰も突付かないだろw(決してラックには言えませんが・・・)
とツッコミつつも、ミドルウェアの設定を変更したりバージョンアップを行っています。
で、その中では僕の認識が甘かった部分や、知らなかった物が何個もあったので、その対策とかのメモ。
【Apache】
(1)ローカルユーザー情報の漏洩
Userdir public_htmlとかなっていると、
http://ドメイン/~存在するユーザー名 ・・・ Forbbiden
http://ドメイン/~存在しないユーザー名 ・・・ Not Found
となり、生きてるユーザーがいる事が分かってしまう。
まぁ、会社のシステムでは使っていない機能なので停止。
Userdir disabled
(2)エラーページからシステム情報の漏洩
デフォルトだと400系や500系の時にApache情報が記載されるので、
そこから脆弱性が漏れる可能性がある。
ServerTokens Prod
ServerSignature Off
【SSL】
(3)脆弱な暗号化(SSLv2)のサポート
SSLv2をサポートしている事自体がダメなんだって。
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+Exp:+eNULL
SSLProtocol ALL –SSLv2
【PHP】
(4)PHPトラッカー情報の漏洩
これもシステム情報の漏洩系。
expose_php = Off