그누보드 영향 안 가면서 서버 보안 설정하기 귀찮네요 ㅋㅋ 정보
그누보드 영향 안 가면서 서버 보안 설정하기 귀찮네요 ㅋㅋ본문
그누보드 영향 안 가면서 서버 보안 설정하기 귀찮네요 ㅋㅋ 말 그대로 이것 저것 하나씩 넣어보면서 테스트 중인데 어떤건 메인페이지가 안 나오기도 하고 어쩔 땐 글쓰기가 문제되기도 하고 ㅠㅠ
서버 보안에 대해 좀 배워볼라카는데 어려운 점이 많군요.
일단 지금까지 apache2.conf 에 문제 없는 설정은...
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always append X-Frame-Options SAMEORIGIN
이렇게 입니다. 혹시 추가적으로 보안설정 해 줘야 하는게 있을까요? (아파치님이 답변해 주실것 같기 ㅋ)
추천
1
1
댓글 20개
구글검색에 만료 헤더를 설정 으로 검색하면 많은 자료가 나올겁니다.
@亞波治 header("Cache-Control: pre-check=0, post-check=0, max-age=0"); 이거 설정이 안되어 있었는데, 이게 맞나요? ㅋ
@디지털홍익인간 설정값은 자신의 서버에 맞추어 하는거라서 정답이 따로 있지 않습니다.
header("Cache-Control: no-store, no-cache, must-revalidate, max-age=0");
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");
이렇게도 사용 한답니다.
header("Cache-Control: no-store, no-cache, must-revalidate, max-age=0");
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");
이렇게도 사용 한답니다.
@亞波治
# a2enmod proxy_fcgi
# a2enmod mpm_event
# a2enconf php7.2-fpm
# a2dismod php7.2
# a2dismod mpm_prefork
이 설정으로 http2 를 적용하면 사이트 자체는 잘 되는데, 항상 수정이나 글쓰기에서 스마트에디터 파일이 다운로드 되어버립니다... 혹시 원인을 아시나요? 지금은 다시 풀어놨습니다. 설정은 다음과 같아요.
header("Cache-Control: pre-check=0, post-check=0, max-age=0"); // HTTP/1.1
header("Expires: 0"); // rfc2616 - Section 14.21
header("Pragma: no-cache"); // HTTP/1.0
header("Content-type: text/html");
그리고 apache2.conf 는
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always append X-Frame-Options SAMEORIGIN
Addtype application/x-httpd-php .html .htm .php .phtml
Addtype application/x-httpd-php-source .php .php3
이렇게 설정해 논 상태고요...
# a2enmod proxy_fcgi
# a2enmod mpm_event
# a2enconf php7.2-fpm
# a2dismod php7.2
# a2dismod mpm_prefork
이 설정으로 http2 를 적용하면 사이트 자체는 잘 되는데, 항상 수정이나 글쓰기에서 스마트에디터 파일이 다운로드 되어버립니다... 혹시 원인을 아시나요? 지금은 다시 풀어놨습니다. 설정은 다음과 같아요.
header("Cache-Control: pre-check=0, post-check=0, max-age=0"); // HTTP/1.1
header("Expires: 0"); // rfc2616 - Section 14.21
header("Pragma: no-cache"); // HTTP/1.0
header("Content-type: text/html");
그리고 apache2.conf 는
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always append X-Frame-Options SAMEORIGIN
Addtype application/x-httpd-php .html .htm .php .phtml
Addtype application/x-httpd-php-source .php .php3
이렇게 설정해 논 상태고요...
@디지털홍익인간 다운로드 부분은 헤더 부분과는 상관없고 Addtype application/x-httpd-php 이것과 관계있는데 설정 하셨다면 저와 같은 문제일듯 싶네요.
지금 다른 작업 하느라 방치해 두었는데 확인되면 댓글 달아 드릴께요....^^
지금 다른 작업 하느라 방치해 두었는데 확인되면 댓글 달아 드릴께요....^^
@亞波治 지금 몇가지 실험을 해봤는데, mpm_prefork 모드와 mpm_event 모드 차이로 저 문제가 나타나네요...http2 를 사용하려면 prefork는 해제해야 하는데, 이때 다운로드되는 문제가 나타나느군요 ㅠㅠ
@디지털홍익인간 지금 사용하시는 OS가 CentOS8 인가요?
@亞波治 전 현재 우분투 18.04에 apache2 사용중입니다. 다른 분들은 .html 파일을 .php로 해결했다고 하는데, 근본적인 해결문제는 아닌듯 해서요. ㅠㅠ
@디지털홍익인간 CentOS8 에서는 문제점을 찾아 해결 했습니다.
우분투는 그런 현상이 없었는데 살펴봐야 알 듯 합니다.
https://apachezone.com/uaai/2 이걸로 테스트 한번 해 보세요.
우분투는 그런 현상이 없었는데 살펴봐야 알 듯 합니다.
https://apachezone.com/uaai/2 이걸로 테스트 한번 해 보세요.
@亞波治 어후 소용이 없는듯 합니다. 조사해 보니 대부분 엔진엑스로 되어 있는 서버만 제대로 돌아가네요. 저도 아파치에서 곧 갈아타야 하나봅니다. ㅋㅋㅋ
@디지털홍익인간 서버를 확인해야 하는데 도와 드릴 방법이 없네요.....ㅠㅠ
전 Nginx에 호스팅 서버를 사용 하는데 이번에 아파치로 바꿀 계획 입니다....^^
그럼 수고 하세요. 전 이만 자러 갑니다. 새벽 4시가 다 되어 가네요....ㅠㅠ
전 Nginx에 호스팅 서버를 사용 하는데 이번에 아파치로 바꿀 계획 입니다....^^
그럼 수고 하세요. 전 이만 자러 갑니다. 새벽 4시가 다 되어 가네요....ㅠㅠ
@디지털홍익인간 그건 당연히 있어야 하는 코드 입니다...^^
이런종류의 글을 볼 때마다 저도 배우고 싶다는 의욕이 생기네요. 언제가는 저도 배워서 물음에 아파치 님처럼 대답해 줄 수 있는 시간이 오겠지요... 그날을 위해 화이팅 하겠습니다.
@마음으로 공부 하시면 금방 답변해주실 수 있습니다. 홧팅요!!1
@Innisfree 호스팅용으로 사용하는 서버라 여러모로 nginx로는 불편한점이 많았습니다.
라이브러리 설치 및 호환성, .htaccess 그리고 여러가지 기능 제한등.......
개인용 서버로는 nginx 가 좋지만 여러 계정을 사용하거나 호스팅용으로 사용하는것은 apache 가 훨신 효용성이 뛰어 난것 같습니다.
그리고 이벤트 모드로 사용하면 nginx와 속도면에서도 큰차이가 없어 바꾸려 합니다.
라이브러리 설치 및 호환성, .htaccess 그리고 여러가지 기능 제한등.......
개인용 서버로는 nginx 가 좋지만 여러 계정을 사용하거나 호스팅용으로 사용하는것은 apache 가 훨신 효용성이 뛰어 난것 같습니다.
그리고 이벤트 모드로 사용하면 nginx와 속도면에서도 큰차이가 없어 바꾸려 합니다.
@亞波治 오오~ 그렇군요!! ^-^
제가 Nginx와 아파치를 제 개인적인 용도로만 사용해봐서 호스팅용으로 아파치가 그런 장점이 있는지 몰랐네요 ㅎㄷㄷ
상세히 설명해주셔서 정말 감사합니다 :)
그럼 亞波治 님께서도 가정에 건강이 늘 함께 하시길 기원할게요오~!
제가 Nginx와 아파치를 제 개인적인 용도로만 사용해봐서 호스팅용으로 아파치가 그런 장점이 있는지 몰랐네요 ㅎㄷㄷ
상세히 설명해주셔서 정말 감사합니다 :)
그럼 亞波治 님께서도 가정에 건강이 늘 함께 하시길 기원할게요오~!
OS와 보유한 서버마다 설정이 달라서 공부하시는 의미로는 좋은 경험이 되실 것 같군요.
서버 보안 참 어려줘 ㅎㅎ
성공하시면 성공담도 올려주세요.
잘 읽고 갑니다.
서버 보안 참 어려줘 ㅎㅎ
성공하시면 성공담도 올려주세요.
잘 읽고 갑니다.
안녕하세요 혹시 해당 문구들
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
이런거 어디에 작성하는걸까요?ㅠ