nextcloud 보안설(?) -2- [X-frame-Options HTTP 헤더 SAMEORIGIN 설정]

이제 두번째다.

웹에서 취약점이 존재하면 공격자는 다른 서버에 위치한 페이지를 <frame>, <iframe>, <object>등으로 삽입해서 공격할수있다.

이러한 공격을 막기위해서 설정해줄수 있는게 “X-Frame-Options” 헤더이다. 옵션값으로는 DENY, SAMEORIGIN, ALLOW-FROM origin이 있다.

  • DENY : 이 홈페이지는 다른 홈페이지에서 표시할 수 없음
  • SAMEORIGIN : 이 홈페이지는 동일한 도메인의 홈페이지에서만 작동.
  • ALL-FROM origin : 이 홈페이지는 origin 도메인의 페이지에 포함하는 것을 허용.

현재 내 사이트에 적용되어있는지 확인하는 방법은 curl 명령어를 사용하면된다.

읭…???
Could not resolve host로 봐서 dns가 내 url을 인식못한다.

이런경우 먼저 cat /etc/resolv.conf 로 들어가서 DNS 서버를 확인해보자.

나같은경우 127.0.0.53 으로 되어있어서(주석처리했음)
구글의 DNS 인 8.8.8.8로 변경해주었다.

그다음 curl -I https://blog.dalso.org/nextcloud 를 입력

해보면 별거없다.. 구글꺼를 봐보자
뭐가 되게 화려하다..

구글의 경우 같은 도메인에서만 작동할수있도로고 SAMEORIGIN이 설정되어있다.

이제 내 도메인에도 적용시켜보자.

적용 방법은 간단하다 나는 Apache를 사용하기 때문에 아파치 설정파일(/etc/apache2/apache2.conf 마지막줄에 X-Frame-Options을 사용한다고 적어주면된다.)

vi /etc/apache2/apache2.conf
Header always append X-Frame-Options SAMEORIGIN

그리고 service apache2 restart 를 이용해서 서버 재시작

적용 된것을 확인하려면 아까처럼 curl 명령어를 사용하면 된다.

적용 완료.

다음글은 위에 구글에 적용되어있던 x-xss-protection 설정을 해보겠다.

추가적으로 apache2가 아닌 nginx 라면 똑같이 설정파일로 이동해서 맨아래에

add_header X-Frame-Options SAMEORIGIN

을 넣어주면 된다.

관련 보안 + 최적화 설정들

  1. PHP-FPM 메모리 제한 없애기

 

————————————————–

사이트 리뉴얼중입니다~

서버(Linux, ESXi), NAS(헤놀로지, ESXi 및 IT관련 정보, 기타 등등을 공유하는 커뮤니티 SVRFORUM을 새로 만들었습니다.
많은 가입(?) 부탁드립니다~
https://svrforum.com

이전글들은 모두 상단 메뉴의 Blog 글 모음에있습니다!

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

홈서버 IT 커뮤니티 SVRFORUM
Link