セキュリティ考察~apacheの罠①~


今回はWebサーバーapacheについて。

ロゴスウェアでは、主にレッドハット系のLINUXを用いて、
Webサーバーを構築しています。
それは、Red Hat Enterpriseであったり、CentOSであったりするのですが、
各種設定には非常に気を遣っております。

今回は忘れがちなapacheの設定について1つ書かせて頂こうかと思います。
弊社では、個人情報を扱うWebシステムを構築する場合、SSL通信を必須とするのですが、
SSLの通信方法にはいくつかの種類があります。

その中にSSLv2とよばれる通信方法があるのですが、
この通信方法には脆弱性があり、またこの通信しかできないWebブラウザというものは、
利用率が0に限りなく近いのが現状です。
つまり、SSLv2での通信は、サーバー側で許可しないのがベターです。

そんな現状に関わらず、Red Hat系にバンドルされいるapache2は、
デフォルトでこの通信を許可しております。
(Red Hat Enterprise Linux 5では、デフォルト不許可になったようです)

この設定は、
/etc/httpd/conf.d/ssl.confにかかれており、該当箇所は
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
になります。
『+SSLv2』←こいつがやっかいもんです。
これを
『!SSLv2』
にして、SSLv2での通信を不許可にします。

このほかにも、apacheには、デフォルトの設定を変更する箇所が、
セキュリティ面からみて、多々あります。
「デフォルト設定」というのは、極力間口を広げて、万人に対応するという精神は分かるのですが、
セキュリティに関しては、厳しい方向に舵を取ってほしいものですね。

The following two tabs change content below.

ロゴスウェア

ロゴスウェア株式会社は、インターネットや情報技術を使って学習に革新的進化をもたらす製品を開発することを目標に、2001年7月に設立されたテクノロジー系ベンチャー企業です。

最新記事 by ロゴスウェア (全て見る)

Comments are closed.