Apache HTTPD 보안취약점 점검

전역설정으로 제한 걸기

<Location "/*">
    <LimitExcept GET POST>
        Order deny,allow
	Deny from all
    </LimitExcept>
</Location>

아파치 웹서버 로그 파일은 기본적으로 644로 생성된다. 이것은 실행하는 루트의 기본 umask가 0022로 설정되어있기 때문이다.
따라서 웹서버를 기동하는 계정의 기본 umask값만 변경하면 자동으로 설정된다.

하지만 계정의 기본값은 그대로 두고 아파치 웹서버의 설정변경만 하고 싶은경우 아래와 같이 설정하도록 한다.

apache 기동 스크립트인 apachectl내에 보면 envvars 파일을 로딩하는 부분이 존재한다. (소스 설치인경우)

# pick up any necessary environment variables
if test -f /APP/httpd-2.4.39/bin/envvars; then
  . /APP/httpd-2.4.39/bin/envvars
fi

위와같이 envvars 파일을 로딩하는 부분이 존재한다면 envvars 파일 내에 umask 설정을 추가해주면 된다.

umask 0027    #<- 반드시 4자리 설정을 하여야 한다.

만약 apachectl스크립트 내에 envvars를 로딩하는 부분이 없다면 (Redhat JBCS(Jboss core services)의 경우 존재하지 않음) apachectl 내에 직접 수동으로 umask 설정을 넣어주면 된다.

umask 0027  #<- 이경우에도 반드시 4자리로 설정한다.

위의 모든 방법을 써도 안되는경우 그냥 실행하는 계정의 umask값을 수정하는 수밖에 없다.