nginx3 [보안가이드] Nginx User-Agent 제한 설정 하기 Nginx User-Agent 제한 설정 하기 nginx를 이용하여 서비스 구동 시 해당 서비스에 여러 User-Agent(UA)로 접근이 된다. 이때 정상적으로 사용하는 사용자는 크게 상관이 없으나, 크롤러, 취약점 스캐너 혹은 공격 Tool 등을 이용하여 해당 서비스에 대해서 정보 수집을 하는 경우가 있다. 그런 경우 해당 서비스의 취약점 발견이 되거나 혹은 서비스 장애 등이 발생되어 현재 사용되는 서비스에 영향을 줄 수 있다. Nginx에서는 이런 경우를 대비하기 위해 User-Agent 제한을 하거나 특정 User-Agent만 사용하도록 할 수 있다. 그럼 User-Agent 제한하는 방법에 대해서 한번 알아보도록 하자. 1. 서비스에 들어오는 User-Agent 확인 하기 우선 현재 우리 서비스.. 2022. 4. 19. [보안가이드] Nginx Header Version 정보 제거 하기 Nginx Header Version 정보 제거 하기 Nginx Web Server(웹서버) 통해서 서비스를 사용하는 경우 기본 설정으로만 서비스 구동 시에 Response Header에 Nginx Version이 노출된다. Nginx Version이 노출이 되어도 문제가 없다고 생각할 수 있으나, 그 생각은 매우 큰 오산이다. 이렇게 Version이 노출이 된 경우 현재 사용하고 있는 해당 Nginx Version에 알려진 취약점을 이용하여 좀 더 쉽게 공격이 가능하다. 쉽게 이야기해 Version 정보를 모른다면 100번 만에 공격이 성공될 수 있지만, Version 정보를 안다면 단 한 번 만에도 공격이 성공될 수 있다. 그러니 별문제 아니라 생각하지 말고 반드시 서비스를 사용하는 경우 꼭 아래와 .. 2022. 4. 18. [Tomcat] 톰켓 SSL 인증서 설정하기 톰켓 SSL 인증서 설정하기 웹 서비스를 구성할 때 Tomcat(톰켓)을 사용하는 경우 Apache(아파치)와 함께 구성하여 서비스를 사용하는 게 일반적이다. 그래서 HTTPS와 같이 SSL 인증서 설정들도 대부분 Apache에서 설정하여 사용하고, 인증서를 구매하여 관련 정보를 받는 경우에도 Apache / Nginx와 같은 부분에 대해서만 설정 및 적용할 수 있도록 전달받는다. 그러나 Tomcat(톰켓)을 이용해 웹 서비스를 바로 사용하는 경우가 간간히 있다. 이때도 HTTPS를 사용하는 경우 SSL 인증서 설정을 하게 되는데 이때 Apache / Nginx에서 사용하기 위해 받은 인증서를 바로 사용할 수가 없다. 그럼 Tomcat에서는 어떻게 적용하는지 한번 알아보도록 하자. 1. Apache or.. 2022. 3. 26. 이전 1 다음 300x250 300x250 300x250 300x250
