Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP-UX   >  Knowledge-on-Demand

HP Apache-based Web Server セキュリティ強化

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む

セキュリティを強化するWebサーバーの設定


あなたの組織のセキュリティ・ニーズに基づき、必要な Webサーバーの設定を行ってください。
HP Apache-based Web Server セキュリティ強化
はじめに
セキュリティ強化
Webサーバーの設定
サーバー管理
付録:セキュリティ機能

脆弱性を排除するために、運用で不要な機能は無効にします


  • Perlや PHPなどのCGI実行、シンボリックリンク先のアクセス、自動ディレクトリ・リスティング、ユーザドキュメント・ディレクトリの機能など。

    例) 自動ディレクトリ・リスティングの機能が不必要な場合は、設定ファイルhttpd.confから以下の Indexesオプションを取り除きます。

    修正前: Options ExecCGI Indexes MultiViews
    修正後: Options ExecCGI MultiViews

SSL(Secure Socket Layer)通信


  • Webサーバーと ブラウザ間の通信で 傍受などの危険性を排除するためには、SSLでの通信を行う様に設定します。
    通常、公開鍵暗号を使った暗号化・復号には時間がかかりますが、Itanium搭載の HP Integrity Serverで実行される HP Apache-based Web Serverではそれを高速に処理します。

    • HP Apache-based Web ServerをSSL対応で起動する。
    • SSL証明書と keyファイルは、DocumentRootには置かないようにする。
    • SSL証明書と keyファイルのアクセス権は、所有者およびrootユーザだけに限定する。
      (例: chmod 400 *.crt)
    • 暗号化に使用するサーバーのプライベート・キーとパスフレーズは第三者に知られないように厳重に管理する。 (パスフレーズは復号を行うときに必要となります)

Webサーバーのファイル/ディレクトリの保護


  • ドキュメント・ディレクトリ、ルート・ディレクトリ、configファイルはウェブサーバー管理者のみが書き込み可能にします。

  • Webサーバー・デーモン(httpd)およびそのディレクトリは group/other ユーザからの書き込みを禁止します。(chmod 0755)

  • ※ HP-UX Apache-based Web Serverでは、インストール時にこのパーミッションに設定されます。

強固なパスワードの適用


  • 長く複雑なパスワードを設定する。

  • /etc/passwdファイルは、すべてのユーザからハッシュデータが 参照可能なので、shadowパスワードシステムを導入する。
    (shadowパスワードシステムは、bastilleおよび Install Time Securityで設定可能です)


  • または、Webサーバーのアクセス認証情報を LDAPで管理する。

シンボリック・リンク先へのアクセスは禁止する


例1) 設定ファイル httpd.conf内で、オプションをコメントアウトし、無効にする。
# Options FollowSymLinks

例2) 設定ファイル httpd.confで、オプションに -FollowSymLinksを指定し、シンボリック・リンク先のアクセスを禁止する。
Options Indexes -FollowSymLinks

chroot(change root)機能を使用するよう HP-UX Apache-based Web Serverを構築する


  • HP-UX Apache-based Web Serverの chrootは、bastilleおよび Install Time Securityで設定可能です。(chrootは OSの機能です)

  • Webサーバーに対して rootディレクトリが設定されると、Webサーバーの各プロセスはそれ以外のディレクトリにはアクセスができなくなるので、仮に攻撃者がWebサーバーのプロセスをのっとったとしても被害の拡大を防ぐことができます。

CGI (Common Gateway Interface)


  • CGIを有効にする場合は、正当な権利者が正しくアクセスでき、かつ管理者が容易に監視できるよう、CGIスクリプトは各ユーザのディレクトリに設置するよう設定します。

  • セキュリティホールに対する警戒


    • 広く配布されている CGIスクリプトにセキュリティ上の脆弱性が見つかっていないか定期的に確認する。
    • 信頼性の低い場所からのスクリプトをダウンロードしない。
    • ユーザのCGIにセキュリティホールがないかチェックする。
      例) IDやパスワードを直書きしていないか? systemコマンドの実行が行われていないか? など
  • suEXEC の機能を利用しWebサーバーIDで CGIスクリプトが実行されないようにする。

  • hp-uxの chroot機能を利用して、スクリプトのアクセス範囲を特定のディレクトリ内に制限する。

  • CGIの実行が必要ないディレクトリではその機能を無効にする。
  • 例)設定ファイル httpd.confで、オプションを無効に設定

    Options -ExecCGI

SSI (Server Side Includes)


  • SSIを利用していることが、すぐ識別できるようにSSIファイルの拡張子は.shtmlとして運用します。

    例)設定ファイル httpd.confで、拡張子を追加する例

    AddType text/html .shtml
    AddHandler server-parsed .shtml
  • SSIの実行が必要ないディレクトリ(ユーザディレクトリなど)ではその機能を無効にする。

    例)設定ファイル httpd.confで、オプションを無効に設定

    Options -Includes
  • 必要がなければ SSIから CGIスクリプトおよび Shellコマンドの実行を禁止する。

    例)設定ファイル httpd.confで、オプションを無効に設定

    Options IncludesNoExec
最初のページへ 前のページへ 次のページへ

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

HPEサポートセンター
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項