Apache의 모니터링 기능으로 서버 정보가 노출되는 취약점 조치
http://웹서버의IP/server-status 로 접속하면 서버의 정보가 노출됨
httpd.conf에서 설정할 수 있음
httpd.conf
ExtendStatus On : 네트워크 통신 상의 데이터도 볼 수 있음
ExtendStatus Off : 기본적인 정보만 제공, 취약점이 해결된 것은 아님
mod_statud모듈을 사용하지 않도록 주석 처리하면 server-status를 확인할 수 없음
#LoadModule status_module modules/mod_status.so
mod_status 아파치 모듈
설명 : 아파치 서버 활동과 성능에 대한 정보를 제공
Status 모듈은 서버 관리자에게 서버의 상태를 보여준다. 쉽게 읽을 수 있는 HTML 페이지로 현재 서버통계를 보여준다. 필요하다면 (표준을 따르는 브라우저에서) 페이지를 자동으로 갱신할 수 있다. 현재 서버 상태를 컴퓨터가 읽을 수 있는 간단한 목록으로 보여줄 수도 있다.
알려주는 정보는:
- 요청을 서비스하는 worker의 개수
- 쉬고 있는(idle) worker의 개수
- 각 worker들의 상태, worker가 처리한 요청의 개수와 worker가 서비스한 전체 바이트수 (*)
- 총 접근 횟수와 서비스한 바이트수 (*)
- 서버가 시작혹은 재시작한 시간과 동작한 시간
- 초당 요청수 평균, 초당 서비스한 바이트수와 요청당 바이트수 평균 (*)
- 현재 아파치 전체와 각 worker들의 CPU 비율 (*)
- 현재 처리하고 있는 호스트와 요청 (*)
'WEB > web, was' 카테고리의 다른 글
[Apache] HTTP Header, Set-Cookie, HttpOnly, Secure설정 (0) | 2021.05.10 |
---|---|
[Apache/Websphere/Tomcat] 에러 페이지 설정 (0) | 2020.09.30 |
[Apache] apache 캐시 설정, httpd.conf, mod_expires (0) | 2020.06.29 |