今回はWebサーバーapacheについて。
ロゴスウェアでは、主にレッドハット系のLINUXを用いて、
Webサーバーを構築しています。
それは、Red Hat Enterpriseであったり、CentOSであったりするのですが、
各種設定には非常に気を遣っております。
今回は忘れがちなapacheの設定について1つ書かせて頂こうかと思います。
弊社では、個人情報を扱うWebシステムを構築する場合、SSL通信を必須とするのですが、
SSLの通信方法にはいくつかの種類があります。
その中にSSLv2とよばれる通信方法があるのですが、
この通信方法には脆弱性があり、またこの通信しかできないWebブラウザというものは、
利用率が0に限りなく近いのが現状です。
つまり、SSLv2での通信は、サーバー側で許可しないのがベターです。
そんな現状に関わらず、Red Hat系にバンドルされいるapache2は、
デフォルトでこの通信を許可しております。
(Red Hat Enterprise Linux 5では、デフォルト不許可になったようです)
この設定は、
/etc/httpd/conf.d/ssl.confにかかれており、該当箇所は
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
になります。
『+SSLv2』←こいつがやっかいもんです。
これを
『!SSLv2』
にして、SSLv2での通信を不許可にします。
このほかにも、apacheには、デフォルトの設定を変更する箇所が、
セキュリティ面からみて、多々あります。
「デフォルト設定」というのは、極力間口を広げて、万人に対応するという精神は分かるのですが、
セキュリティに関しては、厳しい方向に舵を取ってほしいものですね。
ロゴスウェア
最新記事 by ロゴスウェア (全て見る)
- Amazon Linux(EC2)と PHPSTORM で Xdebug を行う - 2018年9月26日
- やらないことの合意 - 2018年6月27日
- 卒園アルバムとプロジェクトマネジメント - 2018年3月30日
Comments are closed.