Apacheを安全に運用するために設定すべき項目は、不要なページの非公開化、ディレクトリ一覧表示の無効化、TRACEメソッドの無効化、バージョン情報の非公開化の4つです。
- 不要なページを非公開にする
WelcomeページやエラーページなどApacheのデフォルトページは攻撃のきっかけとなり得るため、非公開に設定するか削除します。 - ディレクトリの一覧表示を無効化する
デフォルトで有効になっている一覧表示機能を無効化し、ディレクトリ内のファイルが外部から参照されることを防ぎます。 - TRACEメソッドを無効化する
TRACEメソッド(リクエスト内容をそのまま返す機能)を無効にし、ID・パスワード・Cookieなどの認証情報が盗み出されるリスクを低減します。 - バージョン情報を非公開にする
デフォルトで有効になっているバージョン情報の公開設定を無効にし、バージョンが古いことを攻撃者に知られて脆弱性を突かれるリスクを低減します。
Apacheの設定がデフォルトのままだと、第三者に攻撃の隙を与えてしまうことになります。小さなほころびが大きな被害につながることもあるため、必ず設定を見直しておきましょう。
詳しい設定項目は「Apacheで設定しておきたい4つの機能」をご覧ください。
