sshdが脆弱なCBC modeによる暗号化を受け付けているのでけしからん,とネットワーク管理者に指摘されました。ご無理ごもっともですので,/etc/ssh/sshd_configに以下の設定を追加してCBC modeと脆弱なMACアルゴリズム(MD5と-96)を無効化しました。
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128
MACs hmac-sha1,umac-64@openssh.com,hmac-ripemd160
たぶん,これでOKなはずです。
やってもやっても脆弱性がでてきます。うーむ。
apacheのセキュアな設定
某所で運用しているApacheによるhttpdサーバーについてネットワーク管理者から物言いがつきました。以前もボロカス怒られたので,それをすっかり修正して,改めてポートスキャンをかけたらまたまた新しい脆弱性が出た,とのこと。前に言っといてくれよ,というような話なのですが,ポートスキャナのほうもバージョンアップしていろいろと「気づき」が増えているのでしょう。結構なことです。
で,怒られたのは,
1) ApacheとPHPのバージョンを開示してるからダメ,
2) Trace methodが有効になってるからダメ,
というものでした。はい。すいません。おっしゃる通りです。私が悪うございました。
httpd.confに
# Security settings
Include etc/apache24/extra/security-local.conf
というのを追加して,extract/security-local.confというファイルを作成して,そのなかに,
# hide version information
ServerTokens Prod
ServerSignature Off
Header unset "X-Powered-By"
# against Clickjacking
Header append X-Frame-Options SAMEORIGIN
# disable trace method
TraceEnable Off
と書いて保存後,httpdを再起動してとりあえずバージョンが見えないようにしました。ただ,
Server: Apache
は答えてしまうのでApacheが動いているというのは見えちゃうのですが...
で,怒られたのは,
1) ApacheとPHPのバージョンを開示してるからダメ,
2) Trace methodが有効になってるからダメ,
というものでした。はい。すいません。おっしゃる通りです。私が悪うございました。
httpd.confに
# Security settings
Include etc/apache24/extra/security-local.conf
というのを追加して,extract/security-local.confというファイルを作成して,そのなかに,
# hide version information
ServerTokens Prod
ServerSignature Off
Header unset "X-Powered-By"
# against Clickjacking
Header append X-Frame-Options SAMEORIGIN
# disable trace method
TraceEnable Off
と書いて保存後,httpdを再起動してとりあえずバージョンが見えないようにしました。ただ,
Server: Apache
は答えてしまうのでApacheが動いているというのは見えちゃうのですが...