Apache関連 Part7
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
05/02/17 23:10:46前スレ Apache関連 Part6
http://pc5.2ch.net/test/read.cgi/unix/1084829611/
●まずはマニュアル嫁。
http://httpd.apache.org/docs/ Apache 1.3
http://httpd.apache.org/docs-2.0/ Apache 2.0
●「自分」でバージョンぐらい調べるれ。
httpd -h
httpd -V コンパイル条件など詳細な情報
●Apache関連サイトへのリンクは >>2-5 あたりヨロ
0192名無しさん@お腹いっぱい。
2005/04/18(月) 11:05:04Webディスカッション?
0193名無しさん@お腹いっぱい。
2005/04/18(月) 11:16:34ワームではないようです。
>>192
おそらくそれだと思います。
クライアントが何も考えずに無条件にリクエストを出しているとなると
一台毎に処理していく他に手の打ちようがないですが、Apache側からなんらか
「ここに来てもWebディスカッションはできんよ」
的な情報を返すような対策法はないものでしょうか。
0194名無しさん@お腹いっぱい。
2005/04/18(月) 11:16:55WordやFrontPageでweb開けば、_vti_binとか普通にアクセスするぞ。
あと、WindowsのWebフォルダね。イントラネットゾーンでhttpサーバが
あれば、自動で探しに行くような挙動もある(条件不明)。
>>189
まあ、止めるのは無理だ。
0195名無しさん@お腹いっぱい。
2005/04/18(月) 11:32:11ログレベルを変えるか、syslog側に出力して何とかするか・・・
0196名無しさん@お腹いっぱい。
2005/04/18(月) 19:29:390197名無しさん@お腹いっぱい。
2005/04/18(月) 21:33:250198名無しさん@お腹いっぱい。
2005/04/20(水) 08:27:48エクスプローラが落ちるんだけど、何とかならないでしょうか?
0199名無しさん@お腹いっぱい。
2005/04/20(水) 09:52:14デバックモードでログを取れ
0200名無しさん@お腹いっぱい。
2005/04/20(水) 09:57:240201名無しさん@お腹いっぱい。
2005/04/21(木) 09:35:31飛ばすことは可能でしょうか。クライアントからはSSLセッションはアクセスサーバに対して
のみ確立されているように見せたいのですが。
SSLなしの場合だったら以前mod_redirectとmod_proxyの組み合わせでやったことがある
んですがSSLでも同じようなことが可能なのかどうか・・・
実験できるサーバが用意できないのでそうした事例をご存知の方がいれば教えてもらえ
ないでしょうか。
0202名無しさん@お腹いっぱい。
2005/04/21(木) 10:09:18mod_perl と mod_proxy の組合せで書いたことはある
自分でコード書かずにできるかどうかは知らない
0203名無しさん@お腹いっぱい。
2005/04/21(木) 10:26:430204名無しさん@お腹いっぱい。
2005/04/21(木) 11:21:50ttp://squid.robata.org/ReverseProxy_ssl.html
0205名無しさん@お腹いっぱい。
2005/04/21(木) 11:48:23SquidってSSLクライアント認証できたっけ?
0206名無しさん@お腹いっぱい。
2005/04/21(木) 12:56:25あ・・・
0207名無しさん@お腹いっぱい。
2005/04/21(木) 13:11:100208201
2005/04/21(木) 13:41:28特定して追跡する必要があるからで、そういった意味ではアクセス者の個人デジタル証
明の認証情報を他に利用することができないSSLアクセラレータやSSL−VPNは検討外
ということになります。内部の人間による情報漏洩とかが問題になっている最近では、
かなり需要がありそうな気がするんですがそういうソリューションって検索しても出てこ
ないんですよね。
0209名無しさん@お腹いっぱい。
2005/04/21(木) 15:53:02無いのなら藻前が先駆けになって情報を公開してくれ
0210名無しさん@お腹いっぱい。
2005/04/21(木) 18:43:37そういうの、いろいろあるよ。
たとえば
http://www.novell.co.jp/pressrel/20040318_1.html
http://www.novell.co.jp/pdf/nsure/Nsure_SIM%20Solution.pdf
うちはNovellのじゃないの入れたけど。
0211201
2005/04/21(木) 22:40:34見ました。でもこれってイントラ内部の監査用ですよね。こういうのだったら
確かに沢山いろいろな製品が出てます。でも今回のとは意味合いが違うかも
(1)クライアントはインターネットの向こう側でかつクライアントの所属する
ネットワークをいじることはできないので一般的なSSL通信のみで対処
(2)アクセス用サーバ以外のアドレスは完全に秘匿しなければならない。
(3)アクセス者を個人レベルで特定、またアクセスの模様をトレースできること
が要件で、協力企業や派遣先の社員にデジタル証明を発行してそれを使って
アクセスしてもらうイメージです。
Apacheの周辺モジュールで作れるんじゃないかなと思ったんですが・・・
0212名無しさん@お腹いっぱい。
2005/04/22(金) 00:18:17リバースプロキシ + Basic認証じゃダメ?
うちはイントラのサーバに外からアクセスさせるために
データセンターに置いたSSLなサーバでリバースプロキシ
-> ルータでDNAT
-> Self SignedなSSLのイントラサーバでmod_auth_shadow使って認証
とかやってる。
0213名無しさん@お腹いっぱい。
2005/04/22(金) 00:24:210214名無しさん@お腹いっぱい。
2005/04/22(金) 02:10:35それじゃ誰がアクセスしてきたか特定できないじゃん
0215名無しさん@お腹いっぱい。
2005/04/22(金) 09:40:02クライアントPCに生体認証があれば別だけど。
0216201
2005/04/22(金) 11:43:41だからこそ個人デジタル証明書を発行してSSLクライアント認証を行うんです。
もちろんそれ専用の認証局も運用します。各種ログも証明書に含まれる鍵を使って
署名を行い改竄できないようにします。これなら本人である正当性を保障できるし、
言い逃れできません。また証明書を第三者に使われた場合でも個人の管理責任を
明確にできます。
0217名無しさん@お腹いっぱい。
2005/04/22(金) 11:57:170218名無しさん@お腹いっぱい。
2005/04/22(金) 13:43:17201のくせに生意気だぞ
0219名無しさん@お腹いっぱい。
2005/04/22(金) 17:34:04責任逃れは立派なセキュリティー対策だとおもうぞ
実際に責任が追求さることが明確になっていればかなりの予防効果がある
しかし210もそこまで分かってんならこんなとこで質問するのは的外れな気がするな
それにそんな方法でいいなら(利用する人が限定されているなら)apacheでWebで認証しなくてもサーバセグメントにSSLトンネルかでも張って使えば良いんじゃないのかな?
0220名無しさん@お腹いっぱい。
2005/04/22(金) 19:44:01おそらく201はアクセス者がどのファイルにアクセスしたまでを特定しないといけないんだろう。
個人情報の流出とかはいつもそれが問題になる。
だとすると >219 の方法はだめだね。 トンネルの向こう側でアクセス資格のある「誰かが」アクセスした
のは判っても実際に「誰が」アクセスしたのかはわからない。
0221名無しさん@お腹いっぱい。
2005/04/22(金) 21:12:48ただ個人デジタル証明書の発行って運用が難しそう。会社の規模にも依るんだけど。
ベリサインの営業から電話がよく掛かってくるんだけど、
そういうときに話しても相手がチンプンカンプンなんだよなあ。
0222名無しさん@お腹いっぱい。
2005/04/22(金) 22:10:01クライアントがいるとは思わない。
もっと違った場所での対処が必要と考える。
0223名無しさん@お腹いっぱい。
2005/04/22(金) 23:08:56おまいさん セキュリティって何か全然わかってないね。あるいはこういうことされると困るやつなのかw
>221
確かに証明書管理がキモだね。こういう場合、発行よりも失効管理をいかに素早くできるかが
重要で、しかも内部でしか利用しないのなら自分のところでCAを運用する他はない。
CAの運用ノウハウがないとつらいところだね。確かに生意気だw >201
0224名無しさん@お腹いっぱい。
2005/04/23(土) 02:06:300225名無しさん@お腹いっぱい。
2005/04/23(土) 10:22:47>のは判っても実際に「誰が」アクセスしたのかはわからない。
ん? なんで?
認証ログとか各種ログ見れば分かるんじゃないの?
現実にこういったのは営業員の外部からのアクセス用とかで製品が出てるよ。
0226名無しさん@お腹いっぱい。
2005/04/23(土) 10:44:36・SSLトンネルがいったん確立されたらそのあとはトンネルの先の何処に行こうとフリーになる。
わざわざ個人認証を使うのだからすべてのリソースアクセスに個人識別をやるはず。
・証明書を使ってログに署名ができない。つまりそのログが本物である保証がない。
PKIの基本は、アクセス者の身元が常に本物であることを証明しないといけない。そのための
デジタル証明。アクセス制限だけでいいなら他にもっと簡単なやり方がいくらでもある。
0227名無しさん@お腹いっぱい。
2005/04/23(土) 10:48:52馬鹿もほどほどにしろ厨房
0228名無しさん@お腹いっぱい。
2005/04/23(土) 19:42:58そこまで言うと詭弁とか極論のような気がする
すべてのリソースのログを取ることだって可能だし
100%個人を保証できなくてもそれに限りなく近ければ良いんじゃないの
で226的にはどのようなソリューションが完璧なわけ?
0229名無しさん@お腹いっぱい。
2005/04/24(日) 07:36:460230名無しさん@お腹いっぱい。
2005/04/24(日) 07:41:110231名無しさん@お腹いっぱい。
2005/04/24(日) 09:50:200232名無しさん@お腹いっぱい。
2005/04/24(日) 11:17:500233名無しさん@お腹いっぱい。
2005/04/24(日) 11:26:25>228
なんでもいいからPKIの本を読むかぐぐるかしてPKI概要のさわりだけでも見てくれ。
100%じゃないとならないの。そうじゃなきゃデジタル証明の意味がない。
>すべてのリソースのログを取ることだって可能だし
どうやって?
リソースを持っているのはサーバだぞ。つまりログをとるのもサーバ。
サーバ以前にSSL-VPNでデジタル証明書使っちゃったらサーバはどこから証明書もらえばいいんだよ。
ブラウザで普通にSSL対応サーバにアクセスするのと、サーバにSSLクライアント認証することの違い認識してるか?
ていうかそもそもApcahe上でどう実装するのかの話じゃないと板違いだろ。
0234名無しさん@お腹いっぱい。
2005/04/24(日) 11:39:20もう少し詳しく教えてください、ぐぐったのですがよくわかりませんでした。
0235名無しさん@お腹いっぱい。
2005/04/24(日) 11:42:58まず七輪と煉炭を用意しろ。詳しい説明はそれから。
0236名無しさん@お腹いっぱい。
2005/04/24(日) 11:45:49ファイアーだな。
0237名無しさん@お腹いっぱい。
2005/04/24(日) 13:32:15ガムテープまたはビニールテープを忘れてるな
ちゃんと目張りしなきゃ効果的じゃないよ
0238名無しさん@お腹いっぱい。
2005/04/24(日) 22:58:34レンタカー&賃貸家は迷惑がかかるから止めとけよ。
0239名無しさん@お腹いっぱい。
2005/04/25(月) 09:38:22んで、何?
それより完璧な解決法を教えてくれ。
0240名無しさん@お腹いっぱい。
2005/04/25(月) 11:01:16古いログの部分は以後の統計からはずれてしまうのでしょうか?それとも、alanogが解析した部分は、
analogが独自に保有しているのでしょうか?
0241名無しさん@お腹いっぱい。
2005/04/25(月) 11:23:56入れるのは無理だと思う。アクセスサーバでセッションを受けて、リソースサーバに転送
するときに元アクセス者の認証情報を含めたセッションを作成できるなら要件を満たす
ことはできるけど、そんなのどちらのサーバもmod_sslを大幅に改造しないとできないだろ
うしアクセスサーバのmod_proxyも改造が必要だと思うぞ
0242名無しさん@お腹いっぱい。
2005/04/25(月) 13:22:08しかし >>201 のやりたいことって、個人単位でアクセス制限かけるつうより
誰がどの URI にアクセスしたかログ取っておきたいっつーだけの話に読める
本当にそれだけでいいなら、素の mod_proxy と mod_ssl だけで可能
0243名無しさん@お腹いっぱい。
2005/04/25(月) 14:28:45独自に保有
0244名無しさん@お腹いっぱい。
2005/04/25(月) 16:47:32ありがとうございます。
0245名無しさん@お腹いっぱい。
2005/04/25(月) 17:41:49httpd.confでVirtualHostのServerNameとDocumentRootを、
グローバルなServerNameとDocumentRootと同じにした場合
グローバルに書いた他のディレクティブの記述は継承されますか?
やっぱり同じ内容を2度書かないといけないのでしょうか?
0246名無しさん@お腹いっぱい。
2005/04/25(月) 20:10:310248名無しさん@お腹いっぱい。
2005/04/26(火) 00:08:33<Location />
RedirectMatch permanent (.*) http://example.com$1
</Location>
/index.html のようなアクセスはリダイレクトするのですが
/ だとリダイレクトしてくれません。/ でリダイレクトするにはどうすればいいんですか?
0249名無しさん@お腹いっぱい。
2005/04/26(火) 02:27:08RedirectMatch permanent /(.*) http://example.com/$1
でどう?
0250名無しさん@お腹いっぱい。
2005/05/04(水) 06:13:39REDHAT9とapache httpd-2.0.54.tar.gz
をインストールしましてローカルではあなたの予想にはんして〜のページを
表示させることができたのですが、ネット越しには表示させることができません。
httpd.confはデフォルトのままでルータのポートは80を空けています。
ポートスキャンしてみましたがちゃんとあいてました。
ファイヤーウォールも切っています。
apacheのあるローカルIPに向かってローカル上の別PCからpingを打ってみましたが通ります。
>>1やいろいろなサイトなどをみてconfを弄ってみたのですがそれでも表示できず
頭がこんがらがってしまったので一旦デフォルトに戻しました。
一応グローバルIPとDDNSで試しましたがどちらも表示されませんでした。
このような場合どうすればいいのでしょうか?
ここは確認したのか、ここはどうなんだ?等のご指摘いただけると助かります。
よろしくお願いします。
0251名無しさん@お腹いっぱい。
2005/05/04(水) 06:28:27>一応グローバルIPとDDNSで試しましたが
串とかつかった?
0252名無しさん@お腹いっぱい。
2005/05/04(水) 06:33:44つながるかどうか実験してくれる人がいると思うよ。
0253名無しさん@お腹いっぱい。
2005/05/04(水) 07:04:03インターねっつからデータを受け取ったルータは
そのデータをどのローカルPCに送れば良いのかわかんなくて困ってる。
とかだったら
IPマスカレード設定とか。
0254名無しさん@お腹いっぱい。
2005/05/04(水) 09:38:280255250
2005/05/04(水) 16:15:30>>251 串等は使っておりません。
>>252 http://grigit.zive.net/ http://222.147.166.33/ です。
もう一度confを確認してみましたがポートは80です。
>>253 ルーターの仮想サーバー機能を使って80をローカルIPである
192.168.123.197に向かって振り分けるようにしています。
別PCにてwin2kでANHTTPDをポート411にて立てていますがこちらは問題なく動いております。
>>254 確認してみます。ありがとうございます。
0256名無しさん@お腹いっぱい。
2005/05/04(水) 17:19:06串を使って実験してみたらいいと思う。
ルータの設定によっては内部ホストからのパケットでルータの80番ポート叩いても目的のホストに転送してくれない場合が結構あるから。
0257名無しさん@お腹いっぱい。
2005/05/04(水) 17:51:4380開いてないんでないかい?
その割には変なポート開けてあるが。
ツラレタカ?
0258名無しさん@お腹いっぱい。
2005/05/04(水) 19:14:28あいてないようだ
0259258
2005/05/04(水) 19:19:13nmapして空いてないと思っただけで、空いてないかどうかはわからない。
>>255のANHTTPD port411番の方は見えてる。
0260250
2005/05/04(水) 19:31:39>>256 うむむ、串を立ててそこを経由してアクセスしろということでしょうか?
redhatで串立ててそこにアクセスしてみろということかな。アドバイスありがとうござます。
>>257-258
検証ありがとうございます。私の確認が間違っていたのかな・・
同じ方法でwin2kのANHTTPD ポート411はあけています。
同じルータで、同じ設定です。
変なポートあけているのは他のPCのアプリの通信用に割り当てているものです。
このポートもすべて通っています。他アプリも機能しています。
0261名無しさん@お腹いっぱい。
2005/05/05(木) 02:00:11proxy使ってと言うのは、googleで proxyで検索。
すると使える proxyを載せてくれているサイトが見付かるので、
IEとかの proxyへそのアドレスを設定。
proxy経由で自分のサイトを外から見れるようになる。
もしくは、http://www.excite.co.jp/world/english/web/
翻訳サイトに自分のアドレス入れて翻訳させてみ。
見れてるかどうか分かるから。
0262250
2005/05/06(金) 00:59:08かなり時間があいてしまってすいません。
串使ってアクセスしてみました。表示されませんでした。
エキサイトでも同様でした。
ポートが開いてないってことでしょうかね・・
ファイヤーウォール等も切っていますしルータ等の設定も
他の正常に機能しているポートと同様なんらかわりない設定なのですが。
引き続き調べてみます。
みなさん、本当にアドバイスありがとうございます。
0263名無しさん@お腹いっぱい。
2005/05/06(金) 02:56:020264名無しさん@お腹いっぱい。
2005/05/06(金) 21:35:41家の中の別PCから http://192.168.123.197とやって見れるのなら、
ルーターでうまく振り分けが出来てない、が濃厚。もしくは、
redahat9の iptablesとかで、ローカルIPとグローバルIPで別の処理をしてる可能性もある。
iptables -nLして input部分の設定を確認する。(ipchainsかも?)
iptables -P INPUT ACCEPT とやって input全許可にしてテストってのも手。
0265名無しさん@お腹いっぱい。
2005/05/07(土) 03:42:47bw_mod ver0.6
私の所では、正常に動作中
0266名無しさん@お腹いっぱい。
2005/05/07(土) 10:15:10で、ルータ設定でポート80をサーバーへNAT変換しました。
しかしブラウザでアクセスしてみると、なぜかルータで
とまってるようです。サーバー側できちんとポート80が
開いているのを確認する方法はありますか?
0267名無しさん@お腹いっぱい。
2005/05/07(土) 10:32:060268266
2005/05/07(土) 11:24:24>266はスルーしてください。
今の状況としては、OSが違う点を除けば>250さんと同じです(ただし
ポートスキャンで80が開いないようです。)。
0269名無しさん@お腹いっぱい。
2005/05/07(土) 11:32:06自宅鯖板のルータ設定スレとかでさ
0270名無しさん@お腹いっぱい。
2005/05/07(土) 11:47:550271名無しさん@お腹いっぱい。
2005/05/07(土) 11:51:04そっちでも散々外出だからたらい回しにしないでくれw
0272名無しさん@お腹いっぱい。
2005/05/07(土) 11:55:05Proxy 経由で確認。Tor とかな。
0273名無しさん@お腹いっぱい。
2005/05/07(土) 12:09:11ほかのポートでポトースキャンすると、ちゃんと
NAT変換されているようなのでルータには問題ないと思うのですが。
Apache2のhttpd.confはディフォルトにドメイン入れただけ
でもとりあえずの動作はOKのはずですよね?
0274名無しさん@お腹いっぱい。
2005/05/07(土) 12:16:230275名無しさん@お腹いっぱい。
2005/05/07(土) 13:24:08>でもとりあえずの動作はOKのはずですよね?
そんなこといっているレベルならもっと勉強しましょう。
0276名無しさん@お腹いっぱい。
2005/05/07(土) 13:55:31の括弧内の表示をカスタマイズするにはどうすれば良かったんでしたっけ。
0277名無しさん@お腹いっぱい。
2005/05/07(土) 14:09:05PLATFORM
0278名無しさん@お腹いっぱい。
2005/05/07(土) 15:06:07これがスレ違い、板違いの元凶
0279名無しさん@お腹いっぱい。
2005/05/07(土) 15:35:500280名無しさん@お腹いっぱい。
2005/05/07(土) 15:40:39まあそれでもスレ違いなんだけどさ
0281名無しさん@お腹いっぱい。
2005/05/07(土) 17:22:32netstat とか telnet
0282266
2005/05/07(土) 19:28:03原因っぽいです。(今再構築中で触れないのですが。)
0283名無しさん@お腹いっぱい。
2005/05/08(日) 17:06:20LANの設定がちゃんと出来ていれば、ポート80が開いてるも開いていないもない。
ルーターから要求があれば、LAN内と同じことだろ。
0284名無しさん@お腹いっぱい。
2005/05/08(日) 17:11:150285266
2005/05/08(日) 17:21:20WANの外から"予想に反して"表示できました。
原因はIPv4が動いてなかったのと、>283さんのいうとおり
外部ドメインをhttpd.confに入れていた為でした。
お騒がせしました。
0286名無しさん@お腹いっぱい。
2005/05/09(月) 01:02:290287名無しさん@お腹いっぱい。
2005/05/09(月) 11:00:140288名無しさん@お腹いっぱい。
2005/05/09(月) 15:47:50もう一つだけ老婆心で言っておくと、ルーターの中では、メールサーバを立てるとき、上と同じ理屈で、ローカルネットワークにリレーを許すと、外部から全部操作されちゃうよ。スパムの巣なる。
なぜ、ルーターの中にあるアパッチのconfに、外部アドレスを書くとだめなのかを理解してなかったら、メールサーバは立てないでね。
0289名無しさん@お腹いっぱい。
2005/05/09(月) 16:38:46?????
0290名無しさん@お腹いっぱい。
2005/05/09(月) 16:52:52ほっとけ、ややこしくなるから
0291名無しさん@お腹いっぱい。
2005/05/09(月) 18:18:35
■ このスレッドは過去ログ倉庫に格納されています