그누보드 영향 안 가면서 서버 보안 설정하기 귀찮네요 ㅋㅋ > 자유게시판

자유게시판

그누보드 영향 안 가면서 서버 보안 설정하기 귀찮네요 ㅋㅋ 정보

그누보드 영향 안 가면서 서버 보안 설정하기 귀찮네요 ㅋㅋ

본문

그누보드 영향 안 가면서 서버 보안 설정하기 귀찮네요 ㅋㅋ 말 그대로 이것 저것 하나씩 넣어보면서 테스트 중인데 어떤건 메인페이지가 안 나오기도 하고 어쩔 땐 글쓰기가 문제되기도 하고 ㅠㅠ

 

서버 보안에 대해 좀 배워볼라카는데 어려운 점이 많군요. 

 

일단 지금까지 apache2.conf 에 문제 없는 설정은...

 

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

Header always append X-Frame-Options SAMEORIGIN

 

이렇게 입니다. 혹시 추가적으로 보안설정 해 줘야 하는게 있을까요? (아파치님이 답변해 주실것 같기 ㅋ)

추천
1
  • 복사

댓글 20개

header("Cache-Control: pre-check=0, post-check=0, max-age=0");  이거 설정이 안되어 있었는데, 이게 맞나요? ㅋ
설정값은 자신의 서버에 맞추어 하는거라서 정답이 따로 있지 않습니다.

header("Cache-Control: no-store, no-cache, must-revalidate, max-age=0");
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");

이렇게도 사용 한답니다.


# a2enmod proxy_fcgi
# a2enmod mpm_event
# a2enconf php7.2-fpm
# a2dismod php7.2
# a2dismod mpm_prefork

이 설정으로 http2 를 적용하면 사이트 자체는 잘 되는데, 항상 수정이나 글쓰기에서 스마트에디터 파일이 다운로드 되어버립니다... 혹시 원인을 아시나요? 지금은 다시 풀어놨습니다. 설정은 다음과 같아요.

header("Cache-Control: pre-check=0, post-check=0, max-age=0"); // HTTP/1.1
header("Expires: 0"); // rfc2616 - Section 14.21
header("Pragma: no-cache"); // HTTP/1.0
header("Content-type: text/html");

그리고 apache2.conf 는

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always append X-Frame-Options SAMEORIGIN

Addtype application/x-httpd-php .html .htm .php .phtml
Addtype application/x-httpd-php-source .php .php3

이렇게 설정해 논 상태고요...
다운로드 부분은 헤더 부분과는 상관없고 Addtype application/x-httpd-php 이것과 관계있는데 설정 하셨다면 저와 같은 문제일듯 싶네요.

지금 다른 작업 하느라 방치해 두었는데 확인되면 댓글 달아 드릴께요....^^
지금 몇가지 실험을 해봤는데, mpm_prefork 모드와 mpm_event 모드 차이로 저 문제가 나타나네요...http2 를 사용하려면 prefork는 해제해야 하는데, 이때 다운로드되는 문제가 나타나느군요 ㅠㅠ
전 현재 우분투 18.04에 apache2 사용중입니다.  다른 분들은 .html 파일을 .php로 해결했다고 하는데, 근본적인 해결문제는 아닌듯 해서요. ㅠㅠ
CentOS8 에서는 문제점을 찾아 해결 했습니다.
우분투는 그런 현상이 없었는데 살펴봐야 알 듯 합니다.

https://apachezone.com/uaai/2 이걸로 테스트 한번 해 보세요.
어후 소용이 없는듯 합니다. 조사해 보니 대부분 엔진엑스로 되어 있는 서버만 제대로 돌아가네요. 저도 아파치에서 곧 갈아타야 하나봅니다. ㅋㅋㅋ
서버를 확인해야 하는데 도와 드릴 방법이 없네요.....ㅠㅠ

전 Nginx에 호스팅 서버를 사용 하는데 이번에 아파치로 바꿀 계획 입니다....^^

그럼 수고 하세요. 전 이만 자러 갑니다. 새벽 4시가 다 되어 가네요....ㅠㅠ
.htaccess 파일에 추가 구문 해줘야 하네요...

AddType text/html .html
AddHandler application/x-httpd-php .php
亞波治 님 안녕하세요?? ^-^
실례가 아니라면 Nginx와 비교하여 아파치의 어떤 장점 때문에 갈아타시는지 여쭤봐도 될까요??
그럼 일교차가 큰데 항상 건강하세요 :)
이런종류의 글을 볼 때마다 저도 배우고 싶다는 의욕이 생기네요. 언제가는 저도 배워서 물음에 아파치 님처럼 대답해 줄 수 있는 시간이 오겠지요... 그날을 위해 화이팅 하겠습니다.
호스팅용으로 사용하는 서버라 여러모로 nginx로는 불편한점이 많았습니다.

라이브러리 설치 및 호환성, .htaccess 그리고 여러가지 기능 제한등.......

개인용 서버로는 nginx 가 좋지만 여러 계정을 사용하거나 호스팅용으로 사용하는것은 apache 가 훨신 효용성이 뛰어 난것 같습니다.

그리고 이벤트 모드로 사용하면 nginx와 속도면에서도 큰차이가 없어 바꾸려 합니다.
오오~ 그렇군요!! ^-^
제가 Nginx와 아파치를 제 개인적인 용도로만 사용해봐서 호스팅용으로 아파치가 그런 장점이 있는지 몰랐네요 ㅎㄷㄷ
상세히 설명해주셔서 정말 감사합니다 :)
그럼 亞波治 님께서도 가정에 건강이 늘 함께 하시길 기원할게요오~!
OS와 보유한 서버마다 설정이 달라서 공부하시는 의미로는 좋은 경험이 되실 것 같군요.
서버 보안 참 어려줘 ㅎㅎ
성공하시면 성공담도 올려주세요.
잘 읽고 갑니다.

안녕하세요 혹시 해당 문구들

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff

이런거 어디에 작성하는걸까요?ㅠ

© SIRSOFT
현재 페이지 제일 처음으로