Apache 가상 호스트: 보안 추가

Apache로 역방향 프록시를 설정할 때 보안을 보장하려면 HTTPS 활성화와 같은 여러 모범 사례를 구현할 수 있습니다. SSL/TLS를 사용하여 보안 헤더 조정, 방화벽 구성 및 백엔드에 대한 액세스 보호를 수행합니다. 다음은 보다 안전한 환경을 보장하기 위한 세부 구현입니다.

SSL/TLS로 HTTPS 활성화

클라이언트와 서버 간의 데이터를 보호하려면 HTTPS 사용이 필수적입니다. 이를 위해 Apache에서 SSL 인증서를 구성하겠습니다.

1.Certbot 및 Apache SSL 모듈 설치

SSL 모듈이 아직 설치되어 있지 않은 경우 설치하세요.

sudo apt install certbot python3-certbot-apache
sudo a2enmod ssl

2.SSL 인증서 받기(Let's Encrypt)

도메인이 이미 서버를 가리키고 있는 경우 Let's Encrypt with Certbot에서 무료 SSL 인증서를 얻을 수 있습니다. 다음 명령을 실행하세요:

sudo certbot --apache -d php.info

• 도메인이 공개인 경우 php.info를 실제 도메인으로 바꾸세요.

• Certbot은 가상 호스트에서 SSL을 자동으로 구성하고 HTTP 트래픽을 HTTPS로 리디렉션합니다.

3.가상 호스트 SSL 확인 및 조정

구성 후 Certbot은 가상 호스트 SSL 구성 파일을 생성하거나 수정합니다. 모든 내용이 올바른지 확인하세요.

sudo your_editor /etc/apache2/sites-available/php-le-ssl.conf

다음과 같아야 합니다.

<IfModule mod_ssl.c>
    <VirtualHost *:443>
        ServerAdmin webmaster@localhost
        ServerName php.info
        DocumentRoot /var/www/html/php

        # Reverse Proxy Configuration for HTTPS
        ProxyPreserveHost On
        ProxyPass / http://localhost:8080/
        ProxyPassReverse / http://localhost:8080/

        <Directory /var/www/html/php/>
            AllowOverride All
            Require all granted
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/php_error.log
        CustomLog ${APACHE_LOG_DIR}/php_access.log combined

        SSLEngine on
        SSLCertificateFile /etc/letsencrypt/live/php.info/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/php.info/privkey.pem
        Include /etc/letsencrypt/options-ssl-apache.conf
    </VirtualHost>
</IfModule>

HTTP를 HTTPS로 리디렉션

모든 HTTP 트래픽이 HTTPS로 리디렉션되도록 할 수 있습니다. HTTP 가상 호스트(/etc/apache2/sites-available/php.conf)에 다음을 추가하세요.

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    ServerName php.info
    Redirect permanent / https://php.info/
</VirtualHost>

이렇게 하면 모든 HTTP 요청이 사이트의 보안(HTTPS) 버전으로 리디렉션됩니다.

보안 헤더

SSL 가상 호스트 구성 파일에 다음 보안 헤더를 추가하여 클릭재킹 및 교차 사이트 스크립팅(XSS)과 같은 몇 가지 일반적인 취약점을 완화하세요.

<IfModule mod_headers.c>
    Header always set X-Content-Type-Options "nosniff"
    Header always set X-Frame-Options "SAMEORIGIN"
    Header always set X-XSS-Protection "1; mode=block"
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set Content-Security-Policy "default-src 'self';"
</IfModule>

• X-Content-Type-Options: 브라우저가 콘텐츠 유형을 추측하는 것을 방지하여 MIME 스니핑 공격을 완화합니다.
• X-Frame-Options: iframe에서 사이트 사용을 방지하여 클릭재킹을 방지합니다.
• X-XSS-보호: 브라우저에서 XSS 공격에 대한 보호를 활성화합니다.
• 엄격한 전송 보안: 브라우저가 항상 HTTPS를 사용하도록 합니다.
• 콘텐츠 보안 정책: XSS.
와 같은 공격을 방지하기 위해 콘텐츠 로딩 정책을 정의합니다.

백엔드 보안

PHP 서버나 기타 서비스와 같은 백엔드 서비스는 대중이 직접 접근할 수 없도록 해야 합니다. 이는 백엔드에 대한 액세스를 프록시로만 제한하여 수행할 수 있습니다.

방화벽 구성(Ubuntu의 UFW):

먼저 서버에 대한 HTTP(포트 80) 및 HTTPS(포트 443) 트래픽만 허용합니다.

sudo ufw allow 'Apache Full'
sudo ufw enable

이제 Apache를 제외하고 포트 8080(백엔드)에 대한 모든 직접 트래픽을 차단합니다.

sudo ufw deny 8080

모니터링 및 로그

의심스러운 행동을 모니터링하려면 액세스 및 오류 로그를 적극적으로 감시하세요.

• 액세스 오류 로그:

tail -f /var/log/apache2/php_error.log

• 액세스 액세스 로그:

tail -f /var/log/apache2/php_access.log

또한 Fail2Ban과 같은 모니터링 도구를 사용하여 로그인 시도에 너무 많이 실패하거나 기타 의심스러운 활동을 하는 IP 주소를 자동으로 차단할 수도 있습니다.

정기 업데이트

알려진 취약점으로부터 보호하려면 운영 체제, Apache 및 Certbot을 최신 상태로 유지하는 것이 중요합니다.

sudo apt update && sudo apt upgrade

이 단계를 수행하면 HTTPS 및 일반적인 공격에 대한 기본 보호 기능을 갖춘 안전한 역방향 프록시 환경을 갖게 됩니다. 이러한 설정에는 전송 보안(SSL/TLS), HTTP 헤더를 통한 공격 완화, 외부 액세스로부터 백엔드 보호가 포함됩니다.

위 내용은 Apache 가상 호스트: 보안 추가의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!