Web サーバーの設定 web-server-configuration
Web サーバー (Apache/IIS) の設定に関する主なベストプラクティスを以下にいくつか示します。
-
デフォルトのエラーページを変更します。
-
古い SSL のバージョンと暗号を無効にします。
Apache 上、/etc/apache2/mods-available/ssl.confを編集します。 次に例を示します。
SSLProtocol all -SSLv2 -SSLv3 -TLSv1
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
IIS の場合 ( ドキュメント) で、次の設定を実行します。
-
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL にレジストリサブキーを追加します。
-
デフォルトでネゴシエートされないプロトコル(TLS 1.2 など)をシステムが使用できるようにするには、次のレジストリキーで、DisabledByDefault 値の DWORD 値データを 0x0 に変更します。 プロトコル キー:
SCHANNEL\Protocols\TLS 1.2\Client
SCHANNEL\Protocols\TLS 1.2\Server
SSL x.0 を無効にします。
SCHANNEL\Protocols\SSL 3.0\Client DWORD (32 ビット)値を 1 に設定
SCHANNEL\Protocols\SSL 3.0\Server:有効: DWORD (32 ビット)値を 0 に設定
-
TRACE メソッドを削除します。
Apache 上、 /etc/apache2/conf.d/security: TraceEnable で編集 オフ
IIS の場合 ( ドキュメント) で、次の設定を実行します。
- 要求フィルタリング の役割サービスまたは機能がインストールされていることを確認します。
- Adobe Analytics の リクエストのフィルター ウィンドウで、[ HTTP 動詞 ] タブをクリックし、[ 動詞の拒否 ] をクリックします。 アクションウィンドウで、開くダイアログに「TRACE」と入力します。
-
バナーを削除します。
Apache 上、 /etc/apache2/conf.d/security を編集します。
- ServerSignature Off
- ServerTokens Prod
IIS の場合、次の設定を実行します。
- URLScan をインストールします。
- Urlscan.ini ファイルを編集して RemoveServerHeader=1 を設定します。
-
クエリのサイズを制限して、重要なファイルがアップロードされないようにします。
Apache 上、 LimitRequestBody ディレクティブ ( サイズ(バイト単位)) は/ディレクトリにあります。
code language-none <Directory /> Options FollowSymLinks AllowOverride None LimitRequestBody 10485760 </Directory>
IIS の場合 ( ドキュメント)、 maxAllowedContentLength (許可されるコンテンツの最大長)を使用できます。
関連トピック :