2017. 3. 16.

[Apache 보안설정] Apache 웹 프로세스

Apache 웹 서버 운영시에 위험을 최소화하기 위해서 웹서버 애플리케이션만을 위한 하나의 유일한 일반 계정으로 운영하는 것이 권고된다. 대부분의 경우에 이러한 목적을 위해 사용자 ID와 그룹으로 nobody를 사용한다.

패스워드 파일에서 Apache 를 위한 사용자 계정(nobody)이 locked되어 로그인 되지 않도록 해야 한다.

1. 웹 서버 프로세스 소유자 확인

# ps -ef | grep http
nobody 434 1 0 9월 07 ? 2:31 /usr/local/apache/bin/httpd
nobody 453 1 0 9월 07 ? 30:37 /usr/local/apache/bin/httpd

2. httpd.conf 파일에서 원하는 사용자 지정
# vi httpd.conf
User nobody
User nobody

3. 로그인 불가 설정
# useradd -s /sbin/nologin nobody

참고

  • http://armadablog.tistory.com/98