コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ 運用・保守 Linuxの運用と保守 Web アプリケーションをファイル アップロードの脆弱性から保護するように CentOS システムを構成する方法

Web アプリケーションをファイル アップロードの脆弱性から保護するように CentOS システムを構成する方法

王林
王林
Jul 09, 2023 am 09:24 AM
CentOSのセキュリティ構成 ファイルアップロードの脆弱性保護

Web アプリケーションをファイル アップロードの脆弱性から保護するように CentOS システムを構成する方法

Web アプリケーションの普及に伴い、ファイル アップロード機能は多くの Web サイトで共通の要件になりました。ただし、ファイルのアップロード構成が正しくないと、重大なセキュリティ上の脆弱性が発生し、攻撃者が悪意のあるファイルをアップロードして任意のコードを実行できる可能性があります。 Web アプリケーションをファイル アップロードの脆弱性から保護するには、CentOS システムのいくつかの主要なコンポーネントと設定を構成する必要があります。この記事では、いくつかの重要な構成手順を説明し、関連するコード例を示します。

  1. 不要なファイル アップロード機能を無効にする

まず、攻撃対象領域を減らすために、不要なファイル アップロード機能を無効にする必要があります。 Apache 設定ファイルで、次の行を見つけてコメント アウト (または削除) します。 

LoadModule cgi_module modules/mod_cgi.so
ログイン後にコピー

これにより、Apache の CGI モジュールが無効になり、攻撃者が CGI スクリプトをアップロードして実行することによってシステムに侵入するのを防ぎます。また、その他の不要なファイルアップロードモジュールがないか確認し、無効にしてください。

  1. アップロード ファイル サイズの制限

アップロード ファイルのサイズを制限することは、攻撃者による大きな悪意のあるファイルのアップロードを防ぐ効果的な方法です。 Apache の構成ファイルで、次の行を見つけて、適切な値 (たとえば、1MB に制限) に設定します。 

LimitRequestBody 1048576
ログイン後にコピー

これにより、リクエスト本文のサイズが 1MB に制限され、このサイズを超えるファイルは削除されます。アップロードを拒否します。

  1. ファイルの種類を確認する

ファイルのアップロード プロセス中に、攻撃者による悪意のあるファイルのアップロードを防ぐためにファイルの種類を確認することが非常に重要です。ファイルの種類は、Apache の mod_mime モジュールを使用して確認できます。以下は、画像ファイル (JPEG、PNG、GIF) のみのアップロードを許可する設定例です。 

<IfModule mod_mime.c>
    <FilesMatch ".(jpe?g|png|gif)$">
        ForceType image/jpeg
    </FilesMatch>
</IfModule>
ログイン後にコピー

この設定では、JPEG、PNG、GIF タイプ以外のファイルはすべてアップロードされます。アップロードが拒否されました。

  1. アップロード ディレクトリを分離する

アップロードされた悪意のあるファイルを通じて攻撃者が機密システム ファイルにアクセスできないように、アップロードされたファイルを別のディレクトリに保存することが非常に重要です。 Apache 設定ファイルで、アップロードされたファイルを保存するためのディレクトリを設定し、そのディレクトリが実行可能でないことを確認します。 

<Directory /path/to/upload/directory>
    Options -Indexes -ExecCGI
    AllowOverride None
    Require all granted
</Directory>
ログイン後にコピー

/path/to/upload/directory を実際のディレクトリに置き換えてください。アップロードディレクトリのパス。

  1. ファイアウォールの構成

Web アプリケーションのアップロード機能へのアクセスを制限するようにファイアウォールを構成することは非常に重要です。以下は、firewalld ツールを使用して CentOS 7 でファイアウォール ルールを構成し、特定の IP アドレスからのアップロード機能へのアクセスのみを許可するコマンドの例です: 

# 允许HTTP和HTTPS流量
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent

# 允许来自特定IP地址的访问上传功能
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="80" protocol="tcp" accept' --permanent

# 重新加载防火墙规则
sudo firewall-cmd --reload
ログイン後にコピー

192.168 を変更してください。 1.100アップロード機能へのアクセスを許可する特定の IP アドレスに置き換えます。

要約すると、Web アプリケーションをファイル アップロードの脆弱性から保護するように CentOS システムを構成するには、一連の重要な設定が必要です。不要なファイルのアップロードの無効化、アップロード ファイル サイズの制限、ファイル タイプの確認、アップロード ディレクトリの分離、ファイアウォール ルールの構成はすべて重要な手順です。正しい構成とセキュリティを実践すれば、ファイル アップロードの脆弱性から Web アプリケーションを効果的に保護できます。

以上は CentOS システムにおけるファイルアップロードの脆弱性対策の設定方法です。もちろん、これらは基本的な設定の一部にすぎず、具体的な設定は実際の状況に応じて調整および改善する必要があります。構成の前に、重要なデータをバックアップし、システムのセキュリティを構成および維持するための十分な理解と経験があることを確認することをお勧めします。

以上がWeb アプリケーションをファイル アップロードの脆弱性から保護するように CentOS システムを構成する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
2週間前 By 尊渡假赌尊渡假赌尊渡假赌
レポ:チームメイトを復活させる方法
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
ハローキティアイランドアドベンチャー:巨大な種を手に入れる方法
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
スプリットフィクションを打ち負かすのにどれくらい時間がかかりますか?
4週間前 By DDD
R.E.P.O.ファイルの保存場所:それはどこにあり、それを保護する方法は?
4週間前 By DDD
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7360
15
Java チュートリアル
1628
14
CakePHP チュートリアル
1353
52
Laravel チュートリアル
1265
25
PHP チュートリアル
1214
29
もっと見る
Related knowledge
Common Linuxコマンドのキーワードの検索に関するチュートリアル Common Linuxコマンドのキーワードの検索に関するチュートリアル Mar 05, 2025 am 11:45 AM

このチュートリアルでは、GREPコマンドファミリと関連ツールを使用してLinuxでの効率的なキーワード検索を示しています。 正規表現、再帰検索、awk、sed、xaなどのコマンドを組み合わせた基本的で高度なテクニックをカバーしています

Linuxの運用およびメンテナンスエンジニアの作業コンテンツLinux Operation and Maintenance Engineersは何をしていますか? Linuxの運用およびメンテナンスエンジニアの作業コンテンツLinux Operation and Maintenance Engineersは何をしていますか? Mar 05, 2025 am 11:37 AM

この記事では、システムのメンテナンス、トラブルシューティング、セキュリティ、コラボレーションを含むLinuxシステム管理者の多面的な役割について詳しく説明します。 それは、不可欠な技術的およびソフトスキル、給与の期待、および多様なキャリアPRを強調しています

Linuxのセキュリティを強化するようにSelinuxまたはApparmorを構成するにはどうすればよいですか? Linuxのセキュリティを強化するようにSelinuxまたはApparmorを構成するにはどうすればよいですか? Mar 12, 2025 pm 06:59 PM

この記事では、SelinuxとApparmor、Linuxカーネルセキュリティモジュールを比較して、必須のアクセス制御を提供します。 それは彼らの構成を詳述し、アプローチの違い(ポリシーベースとプロファイルベース)と潜在的なパフォーマンスへの影響を強調します

パターンマッチングにLinuxで正規表現(正規表現)を使用するにはどうすればよいですか? パターンマッチングにLinuxで正規表現(正規表現)を使用するにはどうすればよいですか? Mar 17, 2025 pm 05:25 PM

この記事では、パターンマッチング、ファイル検索、テキスト操作、グレップ、SED、awkなどのツールの詳細、ファイル検索、テキスト操作のためにLinuxで正規表現(Regex)を使用する方法について説明します。

TOP、HTOP、VMSTATなどのツールを使用してLinuxのシステムパフォーマンスを監視するにはどうすればよいですか? TOP、HTOP、VMSTATなどのツールを使用してLinuxのシステムパフォーマンスを監視するにはどうすればよいですか? Mar 17, 2025 pm 05:28 PM

この記事では、Linuxシステムのパフォーマンスを監視するためにTop、HTOP、およびVMSTATを使用して、効果的なシステム管理のための独自の機能とカスタマイズオプションを詳述することについて説明します。

LinuxでSSHに2要素認証(2FA)を実装するにはどうすればよいですか? LinuxでSSHに2要素認証(2FA)を実装するにはどうすればよいですか? Mar 17, 2025 pm 05:31 PM

この記事では、Google Authenticatorを使用してLinux上のSSH用の2要素認証(2FA)のセットアップ、インストール、構成、およびトラブルシューティング手順の詳細に関するガイドを提供します。 Enhanced Secなど、2FAのセキュリティ利益を強調しています

Linuxシステムをバックアップして復元するにはどうすればよいですか? Linuxシステムをバックアップして復元するにはどうすればよいですか? Mar 12, 2025 pm 07:01 PM

この記事では、Linuxシステムのバックアップと復元方法について詳しく説明しています。 フルシステムイメージのバックアップとインクリメンタルバックアップを比較し、最適なバックアップ戦略(規則性、複数の場所、バージョン、テスト、セキュリティ、回転)、およびDAについて説明します

一般的なLinuxコマンドのファイルをアップロードする方法 一般的なLinuxコマンドのファイルをアップロードする方法 Mar 05, 2025 am 11:42 AM

この記事では、ファイルをアップロードするためのLinuxコマンド(SCP、SFTP、RSYNC、FTP)を比較します。 セキュリティ(SSHベースの方法を支持する)と効率性を強調し、大規模なファイルのRSYNCのDelta転送機能を強調しています。 選択はファイルサイズに依存します、

See all articles