apache 웹 서버 보안 강화하기 : 8가지 필수 설정

Apache 기본 보안 설정

Apache는 가장 널리 사용되는 웹 서버 중 하나입니다.
그러나 Apache를 설치하고 사용하기만 한다면 보안상의 취약점이 있을 수 있습니다.
이 포스팅에서는 Apache의 기본 보안 설정에 대해 알아보겠습니다.

1. 서버 정보 숨기기

웹 페이지의 헤더와 404 에러페이지에서 서버에서 사용하고 있는 OS 버전/ OS 정보가 노출되었다면, 공격자에게 힌트를 주게 됩니다.
이런 서버 정보를 숨기기 위해서는 ServerTokens 설정을 수정해야 합니다.

ServerTokens 설정은 HTTP response의 HTTP Header에 노출되는 서버 정보를 얼마나 보여줄 것인가를 설정할 수 있습니다.
설정 값은 Full, OS, Minimal, Minor, Major, Prod 이 있습니다.

  • Full : Apache/2.4.18 (Ubuntu) / PHP …
  • OS : Apache/2.4.18 (Ubuntu)
  • Min : Apache/2.4.18
  • Minor : Apache/2.4
  • Major : Apache/2
  • Prod : Apache

ServerTokens 설정은 OS별로 다음과 같은 파일에서 수정할 수 있습니다.

  • 우분투 : /etc/apache2/conf-available/security.conf
  • CentOS : /etc/httpd/conf/httpd.conf

설정 파일 내 ServerTokens 를 Prod로 수정하고 아파치를 재시작하면, 서버 정보가 최소한으로 노출됩니다.

2. 디렉토리 인덱싱 차단
디렉토리 인덱싱 차단은 이전 포스팅에서도 한번 언급했던 것입니다. (이전 포스팅 보기)
디렉토리 인덱싱은 웹 서버에 있는 파일과 폴더의 목록을 보여주는 기능으로 이 기능이 활성화되어 있다면, 공격자는 웹 서버의 구조와 파일을 쉽게 파악할 수 있습니다.
따라서 디렉토리 인덱싱을 차단하는 것이 좋습니다.

디렉토리 인덱싱을 차단하기 위해서는 /etc/apache2/apache2.conf 파일에서 Options 부분에 있는 Indexes 를 제거해야 합니다.

예를 들어, 다음과 같이 웹 루트 디렉토리의 Options에 Indexes가 있다면,

<Directory /var/www/>
    Options Indexes FollowSymLinks
    AllowOverride None
    Require all granted
</Directory>

다음과 같이 Indexes를 지워줍니다.

<Directory /var/www/>
    Options FollowSymLinks
    AllowOverride None
    Require all granted
</Directory>

이렇게 하고 아파치를 재시작하면, 디렉토리 인덱싱을 시도할 시 403 에러를 출력합니다.

3. 심볼릭 링크 차단

심볼릭 링크는 한 파일이나 디렉토리를 다른 파일이나 디렉토리로 가리키는 것입니다.
심볼릭 링크가 웹 루트 위에 있는 파일이나 디렉토리를 가리킨다면, 웹 사용자는 웹 루트에서 벗어난 곳에 접근할 수 있게 됩니다.

예를 들어, 웹 루트에 루트로 연결되는 심볼릭 링크가 있다면,

$ ls -l /var/www/
total 0
lrwxrwxrwx 1 root root 1 Mar 28 14:00 root -> /

웹 사용자는 웹 루트에서 root라는 디렉터리로 이동할 시, 해당 서버의 / (루트) 디렉터리를 열람할 수 있게 됩니다.

심볼릭 링크를 차단하기 위해서는 /etc/apache2/apache2.conf 파일에서 FollowSymLinks 옵션을 지워줘야 합니다.

예를 들어, 다음과 같이 웹 루트 디렉터리의 Options에 FollowSymLinks가 있다면,

<Directory /var/www/>
    Options FollowSymLinks
    AllowOverride None
    Require all granted
</Directory>

다음과 같이 FollowSymLinks를 지워줍니다.

<Directory /var/www/>
    Options None
    AllowOverride None
    Require all granted
</Directory>

이렇게 하고 아파치를 재시작하면, 심볼릭 링크로 서버 루트 위의 파일이나 디렉터리를 열람할 수 없게 됩니다.

4. 웹 서버 프로세스 권한 제한

웹 서버 프로세스는 웹 서버가 실행되는 프로그램입니다.
웹 서버 프로세스가 root 권한으로 실행될 경우, 웹 어플리케이션 취약점 등으로 root 권한을 취득하게 될 수 있습니다.
그러므로 웹 서버 프로세스의 권한을 제한하는 것이 필요합니다.

웹 서버 프로세스의 권한을 제한하기 위해서는 다음과 같은 단계를 거쳐야 합니다.

웹 서버 데몬을 실행할 사용자를 만들어 줍니다.
해당 사용자는 쉘 권한이 필요 없으므로, 불필요한 쉘 권한을 주지 않기 위해 -s 옵션을 사용합니다.

$useradd -s /sbin/nologin 사용자명

이렇게 생성된 사용자는 SSH로 접속할 수 없고, FTP 접속만 가능해집니다.

/etc/apache2/apache2.conf 파일에서 User와 Group을 위에서 만든 사용자와 그룹으로 설정합니다.

User 사용자명
Group 그룹명

아파치를 재시작합니다.

5. HTTP Method 제한

HTTP Method는 클라이언트가 서버에 요청하는 방식입니다.
HTTP Method에는 여러가지 종류가 존재합니다.

예를 들어,

  • GET : 리소스를 조회하는 메소드
  • POST : 리소스를 생성하는 메소드
  • PUT : 리소스를 수정하는 메소드
  • DELETE : 리소스를 삭제하는 메소드
  • HEAD : 리소스의 헤더만 조회하는 메소드
  • OPTIONS : 리소스가 지원하는 메소드를 확인하는 메소드
이 중 불필요한 Method는 웹 서버에서 사용할 수 없게 제한을 두는 것이 좋습니다.

HTTP Method를 제한하기 위해서는 /etc/apache2/apache2.conf 파일에서 Limit와 LimitExcept 옵션을 사용합니다. 
Limit 옵션은 해당 메소드에 대한 설정이고 LimitExcept는 해당 메소드를 제외한 메소드에 대한 설정입니다.

예를 들어, GET과 POST 메소드만 허용하고 나머지 메소드는 거부하고 싶다면 다음과 같이 설정합니다.

<LimitExcept GET POST>
    Order deny,allow
    Deny from all
</LimitExcept>

이렇게 하고 아파치를 재시작하면, GET과 POST 메소드만 정상적으로 응답하고 나머지 메소드는 차단합니다.

6. 에러페이지 설정

웹 서버에서 존재하지 않는 파일이나 권한이 없는 디렉터리를 요청할 때, 뜨는 404 에러와 403 에러 페이지입니다.
이런 에러 페이지에는 웹 서버의 버전이나 OS 정보 등이 노출될 수 있습니다.
이런 정보는 공격자에게 힌트가 될 수 있으므로, 에러 페이지를 커스텀하거나 숨기는 것이 좋습니다.

에러 페이지를 설정하기 위해서는 /etc/apache2/conf-available/security.conf 파일에서 ErrorDocument 옵션을 사용합니다.
ErrorDocument 옵션은 에러 코드와 그에 해당하는 페이지를 지정할 수 있습니다.

예를 들어, 404 에러와 403 에러에 대해 간단한 메시지를 출력하고 싶다면 다음과 같이 설정합니다.

ErrorDocument 404 "Not Found"
ErrorDocument 403 "Forbidden"

이렇게 하고 아파치를 재시작하면, 404 에러와 403 에러 페이지가 커스텀된 것을 확인할 수 있습니다.

7. SSL 프로토콜 및 알고리즘 설정

해당 내용은 이전에 자세히 포스팅 한 것이 있기때문에 링크로 대체합니다. (이전 포스팅 확인하기)

8. http 접속 시 https 리다이렉트

http(HyperText Transfer Protocol)는 웹 서버와 클라이언트 간의 통신 규약입니다.
http는 텍스트 기반의 프로토콜이므로, 통신 내용이 평문으로 노출됩니다.
이런 통신 내용에는 중요한 정보가 포함될 수 있으므로, 보안상의 문제가 발생할 수 있습니다.

http 대신 https(HyperText Transfer Protocol Secure)를 사용하면 통신 내용을 암호화할 수 있습니다.
https는 http와 달리 SSL 인증서가 필요한데, https를 사용하면 중간자 공격이나 데이터 변조 등을 방지할 수 있습니다1.

http 접속 시 https로 리다이렉트하려면 /etc/apache2/sites-available/000-default.conf 파일에서 RewriteEngine과 RewriteRule 옵션을 사용합니다.
RewriteEngine 옵션은 URL 재작성 기능을 활성화하는 것이고, RewriteRule 옵션은 URL 재작성 규칙을 지정하는 것입니다.

예를 들어, 다음과 같이 설정하면 http 접속 시 https로 리다이렉트합니다.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

RewriteCond 옵션은 URL 재작성 조건을 지정하는 것입니다.
위의 예제에서는 HTTPS가 off일 때만 URL 재작성 규칙을 적용하도록 하였습니다.

RewriteRule 옵션은 URL 재작성 규칙을 지정하는 것입니다.
위의 예제에서는 모든 요청(^.*$)에 대해 https://%{HTTP_HOST}%{REQUEST_URI} 로 리다이렉트하도록 하였습니다.
[L,R=301]은 마지막 규칙(L)이며, 301 Moved Permanently 응답 코드(R=301)를 반환하도록 하였습니다.

이렇게 하고 아파치를 재시작하면, http 접속 시 https로 리다이렉트됩니다.

결론

Apache는 가장 널리 사용되는 웹 서버 중 하나입니다.
그러나 Apache를 보안적으로 안전하게 사용하기 위해서는 몇 가지 설정을 해줘야 합니다.
이 포스팅에서는 Apache의 기본 보안 설정에 대해 알아보았습니다.

Apache의 기본 보안 설정은 다음과 같습니다.

  • 서버 정보 숨기기 : ServerTokens 옵션을 Prod로 설정하여 서버 정보를 최소화합니다.
  • 디렉토리 인덱싱 차단 : Options 옵션에서 Indexes를 제거하여 디렉토리 인덱싱을 방지합니다.
  • 심볼릭 링크 차단 : Options 옵션에서 FollowSymLinks를 제거하여 심볼릭 링크를 통한 접근을 차단합니다.
  • 웹 서버 프로세스 권한 제한 : User와 Group 옵션을 쉘 권한이 없는 사용자와 그룹으로 설정하여 웹 서버 프로세스의 권한을 제한합니다.
  • HTTP Method 제한 : LimitExcept 옵션을 사용하여 GET과 POST 메소드만 허용하고 나머지 메소드는 거부합니다.
  • 에러페이지 설정 : ErrorDocument 옵션을 사용하여 404 에러와 403 에러 페이지를 커스텀하거나 숨깁니다.
  • SSL 프로토콜 및 알고리즘 설정 : SSLProtocol과 SSLCipherSuite 옵션을 사용하여 SSL 프로토콜과 알고리즘을 설정합니다. Let’s Encrypt를 사용하여 무료 SSL 인증서를 발급받고 설치합니다.
  • http 접속 시 https 리다이렉트 : RewriteEngine과 RewriteRule 옵션을 사용하여 http 접속 시 https로 리다이렉트합니다.
이렇게 하면 Apache의 보안성을 향상시킬 수 있습니다.
이 포스팅은 기본적인 내용만 다룬 것이기 때문에 Apache의 보안 설정에 관심이 있다면, 더 많은 자료를 찾아보시기 바랍니다.

이상으로 포스팅을 마무리하겠습니다. 감사합니다.

글 쓰는 Jiniwar


댓글

댓글 쓰기

이 블로그의 인기 게시물

crontab 설정방법과 로그 확인하는 법

crontab이란? crontab은 리눅스에서 주기적으로 특정 작업을 수행하도록 예약하는 명령어입니다. 예를 들어, 매일 밤 백업을 하거나, 매주 월요일에 로그를 삭제하거나, 매시간마다 시스템 상태를 체크하는 등의 작업을 crontab을 이용하여 자동화할 수 있습니다. crontab은 크게 두 가지로 구분할 수 있습니다. 시스템 전체의 crontab : /etc/crontab 파일에 정의된 작업들로, 모든 사용자가 공유합니다. 개별 사용자의 crontab : 각 사용자가 crontab 명령어로 생성하고 관리하는 작업들로, 해당 사용자만이 접근할 수 있습니다. 이번 포스팅에서는 개별 사용자의 crontab에 대해 알아보고, 설정방법과 성공여부 확인 방법에 대해 설명하겠습니다. crontab 설정방법 crontab 명령어는 다음과 같은 옵션을 가집니다. -e : crontab 파일을 편집합니다. 기본적으로 vi 에디터가 열리지만, EDITOR 환경변수를 설정하여 다른 에디터를 사용할 수 있습니다. -l : 현재 설정된 crontab 파일의 내용을 출력합니다. -r : 현재 설정된 crontab 파일을 삭제합니다. crontab 파일을 편집하려면 다음과 같이 명령어를 입력합니다. 1 $ crontab -e cs 그러면 다음과 같은 형식으로 작업을 정의할 수 있습니다. 1 분 시 일 월 요일 명령어 cs 각 항목은 다음과 같은 의미를 가집니다. 분 : 0 ~ 59 사이의 숫자로, 명령어가 실행될 분을 지정합니다. 시 : 0 ~ 23 사이의 숫자로, 명령어가 실행될 시간을 지정합니다. 일 : 1 ~ 31 사이의 숫자로, 명령어가 실행될 날짜를 지정합니다. 월 : 1 ~ 12 사이의 숫자로, 명령어가 실행될 달을 지정합니다. 요일 : 0 ~ 6 사이의 숫자로, 명령어가 실행될 요일을 지정합니다. 0은 일요일, 1은 월요일 … 6은 토요일입니다. 명령어 : 실행할 쉘 스크립트나 프로그램의 경로와 옵션입니다. 예를 들어, 매일 오전 10시에 /home/user/backup.
자세한 내용 보기

Microsoft Defender 방화벽 설정 또는 해제하는 방법

이미지
저는 집에서 아이들이 컴퓨터를 사용하는 것을 적극 찬성하는 입장입니다. 와이프는 게임을 많이 한다고 질색팔색이긴한데, 저는 우선 컴퓨터와 친해지는 과정이 있어야 나중에 컴퓨터에 흥미를 느끼고 깊게 이해할 수 있다고 생각하기 때문에 게임을 하건, 유튜브를 보건 무조건 컴퓨터를 많이 해보라고 합니다. 어제, 와이프와 드라이브를 하고 있는데 딸아이에게 전화가 왔습니다. "아빠, 우리집 컴퓨터에 VPN 있어? 있으면 사용하는 방법 좀 알려줘." 오오...무려 VPN 사용법! 로블록스 게임 중 국내에서 플레이 할 수 없는 게임을 하고 싶어서 라는데 이유가 어찌됐건 간에 딸아이한테서 VPN에 대한 이야기가 나왔다는게 대견했습니다. 하지만 VPN을 사용하기 위해서는 기본적인 윈도우 보안에 대해서도 알아둘 필요성이 있을 것 같아서, 이번 포스팅은 윈도우의 기본 방화벽인 'Microsoft Defender'에 대해 알아볼까 합니다. 아이들이 봐야 할 포스팅이기 때문에 최대한 쉽고 재미있게 작성해보려고 하는데 잘 될지는 모르겠네요^^; 그럼 시작해보겠습니다. Windows 10과 Windows 11에서 Microsoft Defender 방화벽을 쉽고 빠르게 설정하거나 해제하는 방법을 아이들도 알 수 있도록 쉽게 알려드립니다. Microsoft Defender 방화벽이 뭐야? 안녕하세요. 오늘은 윈도우 보안의 비밀병기, Microsoft Defender 방화벽에 대해 이야기해볼까 합니다.  Microsoft Defender 방화벽은 Windows에 내장된 슈퍼 보안 기능이에요. 무단으로 장치나 네트워크에 들어오려는 악당들을 막아주는 역할을 해줘요. Microsoft Defender 방화벽은 장치가 네트워크에 연결되어 있는 동안에도 항상 깨어있어서 지켜봐줘요.  그런데 가끔은 다른 방화벽과 싸우거나 원하는 앱이나 프로그램을 실행하지 못하게 막을 수도 있어요. 그럴 때는 Microsoft Defender 방화벽을 잠시 꺼주거나 켜줄 수 있어요. 이 글
자세한 내용 보기

한국 군비지출 세계 9위

이미지
한국 군사비지출 세계 9위, 그 이유와 의미는? 세계의 군사비지출이 사상 최고치를 기록했다는 보고서가 발표되었습니다. 스톡홀름 국제평화재단(SIPRI)이 24일(현지시간) 발표한 '2022 세계 군비지출 동향' 보고서에 따르면, 지난해 세계 군비 지출액은 전년보다 3.7% 상승한 2조 2천400억 달러(약 2천900조 원)로 역대 최고 기록을 세웠습니다. 이는 세계 국내총생산(GDP) 총합의 2.2%에 해당합니다 세계 군비지출 순위 세계 군비지출 순위는 다음과 같습니다 세계 군비지출 순위 (1 ~ 10위) 한국은 지난해 군비 예산을 전년 대비 2.9% 늘렸으나, 인플레이션을 감안한 실질 군사비 지출은 2.5% 줄어들었습니다. 총 비용은 세계에서 아홉 번째로 많은 수준입니다. 일본은 지난해 실질 군사비 지출이 전년보다 5.9% 증가하면서 한국과 자리를 바꾸었습니다. 세계 군비지출 증가의 배경과 영향 세계 군비지출이 계속 증가하는 것은 우리가 점점 더 불안정한 세계에 살고 있다는 신호입니다.  SIPRI는 러시아의 우크라이나 침공, 미국과 중국의 경쟁에 따른 동아시아의 긴장 고조를 전세계 지출을 늘린 요인으로 지목했습니다 이러한 국제적 긴장 상황은 코로나19 팬데믹으로 인해 경제적으로 어려움을 겪고 있는 많은 국가들에게 부담을 가중시키고 있습니다. SIPRI는 코로나19로 인해 군비지출을 줄인 국가는 13개에 불과하며, 그 중에서도 대부분은 이미 군비지출이 낮은 수준이었다고 밝혔습니다. 반면에 미국과 중국은 각각 4.4%, 1.9%의 군비지출을 증가시켰으며, 이는 세계 군비지출 증가의 60%를 차지했습니다. 전세계적으로 증가추세인 군비지출 한국의 군비지출 증가의 이유와 의미 한국은 세계에서 아홉 번째로 많은 군비지출을 하는 나라입니다. 한국의 군비지출 증가에는 여러 가지 이유가 있습니다. 첫째, 한국은 북한의 핵과 미사일 위협에 직면해 있으며, 이를 대응하기 위해 고도 미사일 방어체계(THAAD), 탄도탄 요격체계(KAMD), 사드리 고도 탐지 레이
자세한 내용 보기