Apache関連 Part7
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
05/02/17 23:10:46前スレ Apache関連 Part6
http://pc5.2ch.net/test/read.cgi/unix/1084829611/
●まずはマニュアル嫁。
http://httpd.apache.org/docs/ Apache 1.3
http://httpd.apache.org/docs-2.0/ Apache 2.0
●「自分」でバージョンぐらい調べるれ。
httpd -h
httpd -V コンパイル条件など詳細な情報
●Apache関連サイトへのリンクは >>2-5 あたりヨロ
0158名無しさん@お腹いっぱい。
2005/04/06(水) 13:55:34それでわかれば苦労はしない
0159
2005/04/06(水) 14:25:54VirtualHostがある場合、全てのVirtualHostにdeny from IPアドレスと設定を書かなければならないでしょうか。
VirtualHostの前、後ろでディレクトリ指定して
<Directory>
Order allow,deny
deny from IPアドレス
allow from All
</Directory>
で期待効果がないです。 一括でやる方法無いですか?
0160名無しさん@お腹いっぱい。
2005/04/06(水) 14:31:47試してないけどアクセス制限を別ファイルにして
各<VirtualHost>~</VirtualHost>内で Include /path/to/access_ctl.conf はどう?
0161159
2005/04/06(水) 14:59:510162名無しさん@お腹いっぱい。
2005/04/06(水) 20:41:440163名無しさん@お腹いっぱい。
2005/04/06(水) 21:29:380164名無しさん@お腹いっぱい。
2005/04/07(木) 10:30:10全体に制限を掛けるならルータとかIPフィルタでやったほうが簡単で効率が良いのではないだろうか。
0165名無しさん@お腹いっぱい。
2005/04/07(木) 11:05:51HTTPの場合は403を返した方が親切だと思う。
まあ僕はipfwで中韓からのアクセス叩き落としてますが。
0166名無しさん@お腹いっぱい。
2005/04/07(木) 11:11:31中韓を落すサイトってどんなジャンルだろう。
なにか面白そうだ。
0167名無しさん@お腹いっぱい。
2005/04/07(木) 17:27:07ジャンルも糞もなくデフォルトで叩き落としておくのが無難。
ワームに感染しててもピーコOSだから対処もしないし、普通にポートが開いてれば
攻撃しかけてくるし。
0168名無しさん@お腹いっぱい。
2005/04/07(木) 17:35:210169名無しさん@お腹いっぱい。
2005/04/08(金) 21:04:080170名無しさん@お腹いっぱい。
2005/04/08(金) 21:07:03pfかipfwで叩き落せ、そのほうが幸せになれる。
無駄なメールも受けなくてすむし、接触も基本的になくなることになる。
というか、せめて、バージョン隠すくらいはしているのか、、、というよけいな事まで
心配してしまった。。。
0171名無しさん@お腹いっぱい。
2005/04/11(月) 10:44:570172名無しさん@お腹いっぱい。
2005/04/12(火) 00:01:42security/portsentry
0173名無しさん@お腹いっぱい。
2005/04/12(火) 00:03:51海栗板で書く時ぐらいは、IPとIPアドレスを使い分けてほしいかな
0174名無しさん@お腹いっぱい。
2005/04/12(火) 02:04:13間違っちゃいないんじゃない?
叩き落としてるのはIPアドレスじゃなくてIPデータグラムでしょ。
「へんなアクセスの来たIP(アドレスからのIPデータグラム)は…」
IPアドレスの略じゃなくプロトコル名と読めばおかしくないと思われ。
0175名無しさん@お腹いっぱい。
2005/04/12(火) 10:24:180176名無しさん@お腹いっぱい。
2005/04/12(火) 21:35:470177名無しさん@お腹いっぱい。
2005/04/12(火) 22:16:340178名無しさん@お腹いっぱい。
2005/04/12(火) 22:26:290179名無しさん@お腹いっぱい。
2005/04/15(金) 02:14:44んで、こないだ考えてたんですが、apacheに connect()した
段階ではloggingされないですよね。
logに落ちるのはrequestが発行されたときですよね。
GETとかHEADとかなんでもいいけど。
ってことは connect()するだけのスクリプトをかいて、んで、
connected()を確認したら接続切らずにまたconnect()ってやれば、
ログに残らずサービス不能にできませんかね?
0180名無しさん@お腹いっぱい。
2005/04/15(金) 02:25:53大筋はあってるけど、詳細はほとんど違う。
Apacheのログには残らないけど、firewallやIDSのログには残る。
connect()はする側も資源を使うので、SYNつきTCPパケットを
連続的に投げる。
IDSとfirewallの連携で連続で来たらフィルタされてしまうので、
ソースアドレス変えながら(詐称)投げる必要がある。
それでも一定範囲でフィルタはされてしまう(どんなソースでも
到達できるわけではないから)ので、1台のマシンで大手サイト
落とすのは無理。DDoS攻撃にする必要あり。
0181名無しさん@お腹いっぱい。
2005/04/15(金) 03:01:32ログが記録されてしまうのだが。
0182名無しさん@お腹いっぱい。
2005/04/16(土) 17:26:31どうやら激しく攻撃されている模様。FOX★健闘中です。
なんとかしてやれんかの?
0183名無しさん@お腹いっぱい。
2005/04/16(土) 17:40:32いくらニュークでも偽装されてはどうにもならん
0184名無しさん@お腹いっぱい。
2005/04/16(土) 18:56:460185名無しさん@お腹いっぱい。
2005/04/17(日) 18:17:26バーチャルホストでRSAキーがダメです!
同じになってしまいます!
どうしてこんな風になるのか見当が付きません!!
0186名無しさん@お腹いっぱい。
2005/04/17(日) 22:39:59とりあえずもちつけ。
まぁ、おそらくは name-based virtual host で SSL を使おうとして、
どの virtual host でも同一の証明書が使われてしまってる状態なんだろうけど。
0188名無しさん@お腹いっぱい。
2005/04/18(月) 10:13:28たぶん>>186だろう。
諦めてくれ・・・
0189名無しさん@お腹いっぱい。
2005/04/18(月) 10:28:20社内のいくつかのクライアントが MSOffice と _vti_bin にアクセスしに来るおかげで
エラーログが埋まって困ってます。どういう条件でアクセスしに来るのか謎なのですが
Apache側でアクセスしてこないようにはできないものでしょうか?
ググって見るとDAVが絡んでいる様子なのですが、mod_davは動かしてません。
0190名無しさん@お腹いっぱい。
2005/04/18(月) 10:39:18蟲じゃん
0191名無しさん@お腹いっぱい。
2005/04/18(月) 10:56:31社内なんだから、そのいくつかのクライアントは特定できてる訳だよね?
それの使用者を即刻解雇するべし。
0192名無しさん@お腹いっぱい。
2005/04/18(月) 11:05:04Webディスカッション?
0193名無しさん@お腹いっぱい。
2005/04/18(月) 11:16:34ワームではないようです。
>>192
おそらくそれだと思います。
クライアントが何も考えずに無条件にリクエストを出しているとなると
一台毎に処理していく他に手の打ちようがないですが、Apache側からなんらか
「ここに来てもWebディスカッションはできんよ」
的な情報を返すような対策法はないものでしょうか。
0194名無しさん@お腹いっぱい。
2005/04/18(月) 11:16:55WordやFrontPageでweb開けば、_vti_binとか普通にアクセスするぞ。
あと、WindowsのWebフォルダね。イントラネットゾーンでhttpサーバが
あれば、自動で探しに行くような挙動もある(条件不明)。
>>189
まあ、止めるのは無理だ。
0195名無しさん@お腹いっぱい。
2005/04/18(月) 11:32:11ログレベルを変えるか、syslog側に出力して何とかするか・・・
0196名無しさん@お腹いっぱい。
2005/04/18(月) 19:29:390197名無しさん@お腹いっぱい。
2005/04/18(月) 21:33:250198名無しさん@お腹いっぱい。
2005/04/20(水) 08:27:48エクスプローラが落ちるんだけど、何とかならないでしょうか?
0199名無しさん@お腹いっぱい。
2005/04/20(水) 09:52:14デバックモードでログを取れ
0200名無しさん@お腹いっぱい。
2005/04/20(水) 09:57:240201名無しさん@お腹いっぱい。
2005/04/21(木) 09:35:31飛ばすことは可能でしょうか。クライアントからはSSLセッションはアクセスサーバに対して
のみ確立されているように見せたいのですが。
SSLなしの場合だったら以前mod_redirectとmod_proxyの組み合わせでやったことがある
んですがSSLでも同じようなことが可能なのかどうか・・・
実験できるサーバが用意できないのでそうした事例をご存知の方がいれば教えてもらえ
ないでしょうか。
0202名無しさん@お腹いっぱい。
2005/04/21(木) 10:09:18mod_perl と mod_proxy の組合せで書いたことはある
自分でコード書かずにできるかどうかは知らない
0203名無しさん@お腹いっぱい。
2005/04/21(木) 10:26:430204名無しさん@お腹いっぱい。
2005/04/21(木) 11:21:50ttp://squid.robata.org/ReverseProxy_ssl.html
0205名無しさん@お腹いっぱい。
2005/04/21(木) 11:48:23SquidってSSLクライアント認証できたっけ?
0206名無しさん@お腹いっぱい。
2005/04/21(木) 12:56:25あ・・・
0207名無しさん@お腹いっぱい。
2005/04/21(木) 13:11:100208201
2005/04/21(木) 13:41:28特定して追跡する必要があるからで、そういった意味ではアクセス者の個人デジタル証
明の認証情報を他に利用することができないSSLアクセラレータやSSL−VPNは検討外
ということになります。内部の人間による情報漏洩とかが問題になっている最近では、
かなり需要がありそうな気がするんですがそういうソリューションって検索しても出てこ
ないんですよね。
0209名無しさん@お腹いっぱい。
2005/04/21(木) 15:53:02無いのなら藻前が先駆けになって情報を公開してくれ
0210名無しさん@お腹いっぱい。
2005/04/21(木) 18:43:37そういうの、いろいろあるよ。
たとえば
http://www.novell.co.jp/pressrel/20040318_1.html
http://www.novell.co.jp/pdf/nsure/Nsure_SIM%20Solution.pdf
うちはNovellのじゃないの入れたけど。
0211201
2005/04/21(木) 22:40:34見ました。でもこれってイントラ内部の監査用ですよね。こういうのだったら
確かに沢山いろいろな製品が出てます。でも今回のとは意味合いが違うかも
(1)クライアントはインターネットの向こう側でかつクライアントの所属する
ネットワークをいじることはできないので一般的なSSL通信のみで対処
(2)アクセス用サーバ以外のアドレスは完全に秘匿しなければならない。
(3)アクセス者を個人レベルで特定、またアクセスの模様をトレースできること
が要件で、協力企業や派遣先の社員にデジタル証明を発行してそれを使って
アクセスしてもらうイメージです。
Apacheの周辺モジュールで作れるんじゃないかなと思ったんですが・・・
0212名無しさん@お腹いっぱい。
2005/04/22(金) 00:18:17リバースプロキシ + Basic認証じゃダメ?
うちはイントラのサーバに外からアクセスさせるために
データセンターに置いたSSLなサーバでリバースプロキシ
-> ルータでDNAT
-> Self SignedなSSLのイントラサーバでmod_auth_shadow使って認証
とかやってる。
0213名無しさん@お腹いっぱい。
2005/04/22(金) 00:24:210214名無しさん@お腹いっぱい。
2005/04/22(金) 02:10:35それじゃ誰がアクセスしてきたか特定できないじゃん
0215名無しさん@お腹いっぱい。
2005/04/22(金) 09:40:02クライアントPCに生体認証があれば別だけど。
0216201
2005/04/22(金) 11:43:41だからこそ個人デジタル証明書を発行してSSLクライアント認証を行うんです。
もちろんそれ専用の認証局も運用します。各種ログも証明書に含まれる鍵を使って
署名を行い改竄できないようにします。これなら本人である正当性を保障できるし、
言い逃れできません。また証明書を第三者に使われた場合でも個人の管理責任を
明確にできます。
0217名無しさん@お腹いっぱい。
2005/04/22(金) 11:57:170218名無しさん@お腹いっぱい。
2005/04/22(金) 13:43:17201のくせに生意気だぞ
0219名無しさん@お腹いっぱい。
2005/04/22(金) 17:34:04責任逃れは立派なセキュリティー対策だとおもうぞ
実際に責任が追求さることが明確になっていればかなりの予防効果がある
しかし210もそこまで分かってんならこんなとこで質問するのは的外れな気がするな
それにそんな方法でいいなら(利用する人が限定されているなら)apacheでWebで認証しなくてもサーバセグメントにSSLトンネルかでも張って使えば良いんじゃないのかな?
0220名無しさん@お腹いっぱい。
2005/04/22(金) 19:44:01おそらく201はアクセス者がどのファイルにアクセスしたまでを特定しないといけないんだろう。
個人情報の流出とかはいつもそれが問題になる。
だとすると >219 の方法はだめだね。 トンネルの向こう側でアクセス資格のある「誰かが」アクセスした
のは判っても実際に「誰が」アクセスしたのかはわからない。
0221名無しさん@お腹いっぱい。
2005/04/22(金) 21:12:48ただ個人デジタル証明書の発行って運用が難しそう。会社の規模にも依るんだけど。
ベリサインの営業から電話がよく掛かってくるんだけど、
そういうときに話しても相手がチンプンカンプンなんだよなあ。
0222名無しさん@お腹いっぱい。
2005/04/22(金) 22:10:01クライアントがいるとは思わない。
もっと違った場所での対処が必要と考える。
0223名無しさん@お腹いっぱい。
2005/04/22(金) 23:08:56おまいさん セキュリティって何か全然わかってないね。あるいはこういうことされると困るやつなのかw
>221
確かに証明書管理がキモだね。こういう場合、発行よりも失効管理をいかに素早くできるかが
重要で、しかも内部でしか利用しないのなら自分のところでCAを運用する他はない。
CAの運用ノウハウがないとつらいところだね。確かに生意気だw >201
0224名無しさん@お腹いっぱい。
2005/04/23(土) 02:06:300225名無しさん@お腹いっぱい。
2005/04/23(土) 10:22:47>のは判っても実際に「誰が」アクセスしたのかはわからない。
ん? なんで?
認証ログとか各種ログ見れば分かるんじゃないの?
現実にこういったのは営業員の外部からのアクセス用とかで製品が出てるよ。
0226名無しさん@お腹いっぱい。
2005/04/23(土) 10:44:36・SSLトンネルがいったん確立されたらそのあとはトンネルの先の何処に行こうとフリーになる。
わざわざ個人認証を使うのだからすべてのリソースアクセスに個人識別をやるはず。
・証明書を使ってログに署名ができない。つまりそのログが本物である保証がない。
PKIの基本は、アクセス者の身元が常に本物であることを証明しないといけない。そのための
デジタル証明。アクセス制限だけでいいなら他にもっと簡単なやり方がいくらでもある。
0227名無しさん@お腹いっぱい。
2005/04/23(土) 10:48:52馬鹿もほどほどにしろ厨房
0228名無しさん@お腹いっぱい。
2005/04/23(土) 19:42:58そこまで言うと詭弁とか極論のような気がする
すべてのリソースのログを取ることだって可能だし
100%個人を保証できなくてもそれに限りなく近ければ良いんじゃないの
で226的にはどのようなソリューションが完璧なわけ?
0229名無しさん@お腹いっぱい。
2005/04/24(日) 07:36:460230名無しさん@お腹いっぱい。
2005/04/24(日) 07:41:110231名無しさん@お腹いっぱい。
2005/04/24(日) 09:50:200232名無しさん@お腹いっぱい。
2005/04/24(日) 11:17:500233名無しさん@お腹いっぱい。
2005/04/24(日) 11:26:25>228
なんでもいいからPKIの本を読むかぐぐるかしてPKI概要のさわりだけでも見てくれ。
100%じゃないとならないの。そうじゃなきゃデジタル証明の意味がない。
>すべてのリソースのログを取ることだって可能だし
どうやって?
リソースを持っているのはサーバだぞ。つまりログをとるのもサーバ。
サーバ以前にSSL-VPNでデジタル証明書使っちゃったらサーバはどこから証明書もらえばいいんだよ。
ブラウザで普通にSSL対応サーバにアクセスするのと、サーバにSSLクライアント認証することの違い認識してるか?
ていうかそもそもApcahe上でどう実装するのかの話じゃないと板違いだろ。
0234名無しさん@お腹いっぱい。
2005/04/24(日) 11:39:20もう少し詳しく教えてください、ぐぐったのですがよくわかりませんでした。
0235名無しさん@お腹いっぱい。
2005/04/24(日) 11:42:58まず七輪と煉炭を用意しろ。詳しい説明はそれから。
0236名無しさん@お腹いっぱい。
2005/04/24(日) 11:45:49ファイアーだな。
0237名無しさん@お腹いっぱい。
2005/04/24(日) 13:32:15ガムテープまたはビニールテープを忘れてるな
ちゃんと目張りしなきゃ効果的じゃないよ
0238名無しさん@お腹いっぱい。
2005/04/24(日) 22:58:34レンタカー&賃貸家は迷惑がかかるから止めとけよ。
0239名無しさん@お腹いっぱい。
2005/04/25(月) 09:38:22んで、何?
それより完璧な解決法を教えてくれ。
0240名無しさん@お腹いっぱい。
2005/04/25(月) 11:01:16古いログの部分は以後の統計からはずれてしまうのでしょうか?それとも、alanogが解析した部分は、
analogが独自に保有しているのでしょうか?
0241名無しさん@お腹いっぱい。
2005/04/25(月) 11:23:56入れるのは無理だと思う。アクセスサーバでセッションを受けて、リソースサーバに転送
するときに元アクセス者の認証情報を含めたセッションを作成できるなら要件を満たす
ことはできるけど、そんなのどちらのサーバもmod_sslを大幅に改造しないとできないだろ
うしアクセスサーバのmod_proxyも改造が必要だと思うぞ
0242名無しさん@お腹いっぱい。
2005/04/25(月) 13:22:08しかし >>201 のやりたいことって、個人単位でアクセス制限かけるつうより
誰がどの URI にアクセスしたかログ取っておきたいっつーだけの話に読める
本当にそれだけでいいなら、素の mod_proxy と mod_ssl だけで可能
0243名無しさん@お腹いっぱい。
2005/04/25(月) 14:28:45独自に保有
0244名無しさん@お腹いっぱい。
2005/04/25(月) 16:47:32ありがとうございます。
0245名無しさん@お腹いっぱい。
2005/04/25(月) 17:41:49httpd.confでVirtualHostのServerNameとDocumentRootを、
グローバルなServerNameとDocumentRootと同じにした場合
グローバルに書いた他のディレクティブの記述は継承されますか?
やっぱり同じ内容を2度書かないといけないのでしょうか?
0246名無しさん@お腹いっぱい。
2005/04/25(月) 20:10:310248名無しさん@お腹いっぱい。
2005/04/26(火) 00:08:33<Location />
RedirectMatch permanent (.*) http://example.com$1
</Location>
/index.html のようなアクセスはリダイレクトするのですが
/ だとリダイレクトしてくれません。/ でリダイレクトするにはどうすればいいんですか?
0249名無しさん@お腹いっぱい。
2005/04/26(火) 02:27:08RedirectMatch permanent /(.*) http://example.com/$1
でどう?
0250名無しさん@お腹いっぱい。
2005/05/04(水) 06:13:39REDHAT9とapache httpd-2.0.54.tar.gz
をインストールしましてローカルではあなたの予想にはんして〜のページを
表示させることができたのですが、ネット越しには表示させることができません。
httpd.confはデフォルトのままでルータのポートは80を空けています。
ポートスキャンしてみましたがちゃんとあいてました。
ファイヤーウォールも切っています。
apacheのあるローカルIPに向かってローカル上の別PCからpingを打ってみましたが通ります。
>>1やいろいろなサイトなどをみてconfを弄ってみたのですがそれでも表示できず
頭がこんがらがってしまったので一旦デフォルトに戻しました。
一応グローバルIPとDDNSで試しましたがどちらも表示されませんでした。
このような場合どうすればいいのでしょうか?
ここは確認したのか、ここはどうなんだ?等のご指摘いただけると助かります。
よろしくお願いします。
0251名無しさん@お腹いっぱい。
2005/05/04(水) 06:28:27>一応グローバルIPとDDNSで試しましたが
串とかつかった?
0252名無しさん@お腹いっぱい。
2005/05/04(水) 06:33:44つながるかどうか実験してくれる人がいると思うよ。
0253名無しさん@お腹いっぱい。
2005/05/04(水) 07:04:03インターねっつからデータを受け取ったルータは
そのデータをどのローカルPCに送れば良いのかわかんなくて困ってる。
とかだったら
IPマスカレード設定とか。
0254名無しさん@お腹いっぱい。
2005/05/04(水) 09:38:280255250
2005/05/04(水) 16:15:30>>251 串等は使っておりません。
>>252 http://grigit.zive.net/ http://222.147.166.33/ です。
もう一度confを確認してみましたがポートは80です。
>>253 ルーターの仮想サーバー機能を使って80をローカルIPである
192.168.123.197に向かって振り分けるようにしています。
別PCにてwin2kでANHTTPDをポート411にて立てていますがこちらは問題なく動いております。
>>254 確認してみます。ありがとうございます。
0256名無しさん@お腹いっぱい。
2005/05/04(水) 17:19:06串を使って実験してみたらいいと思う。
ルータの設定によっては内部ホストからのパケットでルータの80番ポート叩いても目的のホストに転送してくれない場合が結構あるから。
0257名無しさん@お腹いっぱい。
2005/05/04(水) 17:51:4380開いてないんでないかい?
その割には変なポート開けてあるが。
ツラレタカ?
■ このスレッドは過去ログ倉庫に格納されています