Apache(아파치) Web Server(웹서버) 통해서 서비스를 사용하는 경우 기본 설정으로만 서비스 구동 시에 Response Header에 Apache Version이 노출된다.
Apache Version이 노출이 되어도 문제가 없다고 생각할 수 있으나, 그 생각은 매우 큰 오산이다.
이렇게 Version이 노출이 된 경우 현재 사용하고 있는 해당 Apache Version에 알려진 취약점을 이용하여 좀 더 쉽게 공격이 가능하다.
쉽게 이야기해 Version 정보를 모른다면 100번만에 공격이 성공될 수 있지만, Version 정보를 안다면 단 한 번만에도 공격이 성공될 수 있다.
그러니 별문제 아니라 생각하지 말고 반드시 서비스를 사용하는 경우 꼭 아래와 같이 설정하여 Apache 정보를 노출하지 않도록 하자.
그럼 어떻게 적용하는지 한번 알아보자.
1. Version 제거 옵션 설정
Apache의 기본 설정 파일인 http.conf 에 "ServerTokens Prod, ServerSignature Off" 아래와 같이 설정하여 Version을 정보를 제거할 수 있다.
특히 ServerTokens 옵션 설정에 따라 노출되는 정보도 다를 수 있으니 참고하도록 하자.
| 옵션 | 제공하는 정보 | 노출 정보 |
| Prod | 웹서버종류 | Apache |
| Min | 웹서버 종류 + 버전 | Apache/2.4.41 |
| OS | 웹서버 종류 + 버전 + 운영체제 | Apache/2.4.41 (CentOS) |
| Full | 웹서버의 모든 정보 | Apache/2.4.41 (CentOS) DAV/2 ~~~ |
특별히 정보 노출을 해야 하는 게 아니라면 무조건 ServerTokens Prod으로 설정하여 사용하도록 하자.
# vi http.conf
ServerTokens Prod
ServerSignature Off
... 이하 생략 ...
# 미적용시
$ curl -i http://test.com
HTTP/1.1 200
Server: Apache/2.4.41
... 이하 생략 ...
# 적용시
$ curl -i http://test.com
HTTP/1.1 200
Server: Apache
... 이하 생략 ...
이번에는 Apache Version 정보를 제거하는 방법을 알아보았다.
물론 이 방법만으로 모든 공격을 막아낼 수는 없다. 그러나 조금이라도 정보 노출을 줄여 쉽게 공격이 당하지 않도록 하는 게 좋겠다.
2. 같이 보면 좋은 문서
'+ Security > 보안 가이드' 카테고리의 다른 글
| [보안가이드] Nginx Header Version 정보 노출 방지 (0) | 2021.07.31 |
|---|---|
| [보안가이드] Nginx User-Agent 제한 설정 (0) | 2021.07.31 |
| [보안가이드] Apache(아파치) User-Agent 제한 설정 (0) | 2021.07.31 |
| [보안가이드] 주요정보통신기반시설 기술적 취약점 분석 평가 상세가이드 (0) | 2021.01.01 |
| [보안가이드] KISA 클라우드 취약점 점검 가이드 (0) | 2020.12.31 |
댓글