Nextcloud HSTS적용하기(보안)

2019년 6월 3일 No Comments

HSTS(HTTP Strict Transport Security)란?

웹에서 HTTPS사용을 강제하도록 하는 보안기능이다. HSTS를 활성화 시키면 이후의 HTTP 요청은 모두 HTTPS로 전환된다.

여기서는 현재 운영중인 Apache2 웹서버에 HSTS를 활성화 시켜보도록 진행 할 예정이다.

Nextcloud 에서는 “Strict-Transport-Security” HTTP 헤더가 “15552000”초 이상로 설정되어 있지 않습니다. 보안 팁에서 제안하는 것처럼 HSTS를 활성화하는 것을 추천한다.

Apache HSTS 설정

HSTS에는 3가지 옵션이 있는데 아래와 같다.

  • max-age HSTS가 브라우저에 실행될 시간 값 (초단위로 설정)
  • includeSubdomains HSTS가 서브도메인에 적용 될것인지.
  • preload HSTS가 브라우저 측에서 Preload 적용여부.

먼저 내 서버에 값이 설정되어있나 curl 명령어로 확인해보자.

당연히 안되있지.

이제 설정값을 집어넣어보자.

vi /etc/apache2/apache2.conf

Header always set Strict-Transport-Security "max-age=15552000; includeSubdomains; preload"

이제 service apache2 restart 로 재시작을 하자

재시작 후에 다시 curl 명령어를 사용해보면 적용이 잘 된것을 확인할 수 있다.

추가) Nginx

사이트 설정에

add_header Strict-Transport-Security "max-age=15552000;
includeSubdomains;
preload";

 

————————————————–

사이트 리뉴얼중입니다~

서버(Linux, ESXi), NAS(헤놀로지, ESXi 및 IT관련 정보, 기타 등등을 공유하는 커뮤니티 SVRFORUM을 새로 만들었습니다.
많은 가입(?) 부탁드립니다~
https://svrforum.com

이전글들은 모두 상단 메뉴의 Blog 글 모음에있습니다!

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

홈서버 IT 커뮤니티 SVRFORUM
Link