[웹보안] 웹 서버 보안

윈도우에서 웹 서버 구축하기

IIS internet information server 웹 서버 관리 프로그램 설치 

- 제어판 - 프로그램 및 기능 - 윈도우즈 기능 켜기 끄기

- 가상 디렉토리 추가 - root 하위에 별칭 생성하고 실제 경로 확인

- 구축한 웹서버에 접속할 때는 ip주소/디렉토리명

- 디렉토리 검색 기능 활성화하면 내부 파일 리스트 확인 가능, 비활성화 권장

- 방화벽 설정, 웹 포트 80번 열기

 

웹 서버 보안 

- 사용하지 않는 기본 문서 제거하기

( 가장 윗쪽에 있는 파일인 기본 문서를 불러오는 웹 사이트, default.htm default.asp index.htm index.html iisstart.htm default.aspx 순서대로 읽음 )

- 기본 문서 순서 확인하기

- 디렉토리 검색 기능 제한하기 (디폴트는 비활성화)

- IIS에서 제공하는 오류 페이지 확인, 400 500

- 맞춤형 오류 페이지 생성하기    사용자 지정 오류 페이지 

- webknight 방화벽 - AQTRONIX에서 제공하는 IIS 기반의 공개 웹 앱 방화벽

- 제어판 / 프로그램 제거 / 윈도우즈 기능 켜기 끄기 - Webknight 설치 후 iis 관리자 isapi 필터 추가

- AQTRONIX log analysis

 

리눅스 웹 서버

- sudo apt install httpd     

- sudo service apache2  start/stop/restart

- ps -ef | grep apache2 프로세스 존재 여부로 실행 확인

- port.conf 에 포트 설정, 디폴트 웹사이트 설정도 변경

- 디렉토리 리스팅 허용 기본적으로 파일을 보여주도록 되어 있음

- 접근 제어 - 디렉토리 별 allow, deny 설정  기본적으로 allow 조건 검사 후 deny 검사 

- 로그 - access.log