2017. 3. 16.

[Apache 보안설정] Apache 웹 프로세스

,

Apache 웹 서버 운영시에 위험을 최소화하기 위해서 웹서버 애플리케이션만을 위한 하나의 유일한 일반 계정으로 운영하는 것이 권고된다. 대부분의 경우에 이러한 목적을 위해 사용자 ID와 그룹으로 nobody를 사용한다.

패스워드 파일에서 Apache 를 위한 사용자 계정(nobody)이 locked되어 로그인 되지 않도록 해야 한다.

1. 웹 서버 프로세스 소유자 확인

# ps -ef | grep http
nobody 434 1 0 9월 07 ? 2:31 /usr/local/apache/bin/httpd
nobody 453 1 0 9월 07 ? 30:37 /usr/local/apache/bin/httpd

2. httpd.conf 파일에서 원하는 사용자 지정
# vi httpd.conf
User nobody
User nobody

3. 로그인 불가 설정
# useradd -s /sbin/nologin nobody

참고

  • http://armadablog.tistory.com/98

Popular Posts

  • 간단 웹쉘 jsp
    /* PHP Version URL CMD WebShell           */ /* 사용법 : hxxp://URL/cmd.php?cmd=명령어 */ <?         echo "                 <FORM ACTIO...
  • [웹 취약점] XSS 크로스 사이트 스크립팅
    1. XSS 취약점 이란 대부분의 웹 해킹 기법은 웹 서버 설정 혹은 프로그램의 취약점을 공격하지만, XSS는 사용자를 공격하는 기법이다. 예를 들어 악성 코드가 포함된 글을 읽는 순간 악성 프로그램이 설치되거나 쿠키 혹은 세션 정보가 공격자에게 ...

Recent Posts

Powered by Blogger.