Apacheに対するサービス拒否攻撃を回避する方法
筆者は最近,Apache HTTPサーバーに対するサービス拒否攻撃を防御するWebベースのセキュリティ・ツール「mod_evasive」を使い始めた。mod_evasiveは特定の挙動を探してそれをブロックするモジュールである。 mod_evasiveは,筆者が昨年の12月に紹介した「Suhosin」に似ている(関連記事:PHPの「守護神」Suhosin)。SuhosinはPHPスクリプティング・エンジンの安全性を大幅に高めるパッチである。Suhosinは,害を及ぼす危険性を持つありとあらゆるWebベースのコンテンツを検出し,それらがPHPエンジンを越えてシステムやネットワークに到達するのを防ぐ上で役に立つ。 mod_evasiveが機能する仕組みを説明しよう。mod_evasiveはまずURLリクエストをApacheサーバーに送信するIPアドレスの記録を取る。その後,あらかじめ設定した許
YappoLogs: Apacheで携帯キャリアのIPアドレス制限をするには
Apacheで携帯キャリアのIPアドレス制限をするには 塩とDishuberを使えば良い。 用意するもの config.yaml cidr.tt contents.tt frame.tt 以上のファイルと最新のDishuberだけである。 それぞれのファイルの中身はとても単純。 frame.tt [% content %] contents.tt[% FOREACH cidr = meta.cidr %] [% cidr -%] [% END %] cidr.tt# [% meta.source.meta.carrier %] [% FOREACH cidr = source %] Allow from [% cidr -%] [% END %] そして config.yaml plugins: - module: Source::MobileCIDR cid: docomo config
MySQL+Apache+PHPをインストールしよう(1/3) ― @IT
PHPとMySQL はじめに、PHP(Personal Home Page tool)について簡単に紹介します(注)。ご存じのように、PHPはWebアプリケーションの定番として定着しています。また、Strutsのような大規模開発向けフレームワークがもてはやされる一方で、PHPをはじめPerlやRuby、Pythonといったスクリプト系言語に代表される「Lightweight Language」が手軽さと機能の豊富さから近年再注目されています。特にDBやWebとの相性がいいPHPは、初歩的なWebアプリケーションから本格的な用途まで幅広く利用されています。 PHP 4.1まではおおむね順調にリリースされていたのですが、PHP 4.2で「register_globals問題」が大きく取りざたされました(コラム1)。ちなみに、快速MySQLでデータベースアプリ!の第5、6回で紹介しているPHPサ
徒然なるままにBlog - Apacheチューニング: ロギングを高速化する
あまり知られていません(と思われる)がApache2(2.0.41以降)にはアクセスログの書き出しをメモリにバッファリングし高速化させるという機能があります。 今回はその機能を有効にするとどれぐらい速くなるのか調べてみました。 設定方法はhttpd.confに BufferedLogs On と追加するだけでログのバッファリングが有効になります。 以下ベンチマークを取った結果です。 バッファリング無効984 Request/Sec バッファリング有効1033 Request/Sec (参考)ロギング無し1055 Request/Sec ※小さなhtmlファイルに対してab -c 100 -n 1000を何度か繰り返した結果の平均です。 体感では違いを感じられないとは思いますがベンチを取るとおよそ5%程Request per secondの値が上がっていました。 静的なファイルが
Milano::Monolog: mod_rewriteでサーバーの負荷が高いときだけリダイレクトする
mod_rewriteでサーバーの負荷が高いときだけリダイレクトする ワタシが働いている会社のホームページは、たまーにYahooのトピックスからリンクされます。 トピックスに載るとそれはもう大量のアクセスが津波のように押し寄せてきて、あっというまにサーバーのリソースを食いつぶしてアクセス不能になってしまいます。 こういうときのために、Contents Delivery Networkによるキャッシングも利用してます。 今までは、リンクされそうになったらmod_rewriteでリダイレクトって方法を使っていました。 でも毎回これをやるのが面倒になってきたので、なんとかならんかなーと思って、RewriteMapに初挑戦してみた。 RewriteMap使えばRewriteCondとかRewriteRuleにプログラムの出力結果を使うことが出来るようになるので、これでWebサーバーのロードアベレー
接続数/帯域制限で無法なダウンローダを撃退(1/4) ― @IT
画像の直リンクやコンテンツの一括ダウンロードなど、サーバに負荷を掛ける迷惑行為は後を絶たない。今回は、これらへの対処法を紹介する。(編集部) 本連載を締めくくるに当たり、今回はこれまでに紹介し切れなかった運用術や特殊な設定を取り上げます。 Refererを使った画像ファイルへの直リンク禁止 URLさえ指定すれば、他サイト上の画像ファイルをあたかも自サイトのコンテンツであるかのように表示させることができます。こうした行為は著作権上の問題を内包するほか、画像などのファイルを転送するための負荷を他サイトのために負担させられることになります。Webサイト運営者として、こうした行為を禁止したいと思うのは当然のことでしょう。 Webブラウザは、コンテンツのリクエスト情報中に参照元URLを埋め込むことができます。具体的には、HTTPリクエスト中のRefererヘッダを利用します。この仕組みを利用して、W
Apache 2.2でWebサイトをパフォーマンスアップ!(1/3) ― @IT
■ドキュメントキャッシュ機能の見直し メモリキャッシュやディスクキャッシュなど、HTTPコンテンツの動的キャッシュ機能が強化されました。開発バージョン時よりも安定性が向上し、Apache 2.2では実用的なレベルになっています。キャッシュ機能を用いることで、一般的にHTTPサービスの応答性を向上させることができます。 また、Apacheをリバースプロキシサーバとして利用する場合もキャッシュ機能を利用可能です。 ■プロキシ機能によるロードバランシングの実現 プロキシでロードバランス機能を実現するmod_proxy_balancerモジュールが追加されました。HTTPやFTPサービスはもちろん、Apache Tomcatなどのサーブレットコンテナとの通信で使われるAJP13プロトコルのロードバランス機能も提供します。 バランシングの制御は、「リクエスト回数」と「トラフィック量」の2つのアルゴリ
Hacking Apache HTTP Server at Yahoo! - naoyaのはてなダイアリー
遅ればせながら Hacking Apache HTTP Server at Yahoo! を一通り読みました。これは Yahoo! のエンジニアである Michael J. Radwin 氏が昨年末の ApacheCon で喋ったときのスライド。 http://public.yahoo.com/~radwin/talks/yapache-apachecon2005.htm Yahoo! が Apache に独自に手を入れた "yapache" なる Apache を使ってるというのはときどき聞いてたんですが、具体的にどういう変更が入ってるかとかは謎のままでした。このスライドにはその辺りの話が惜しげもなく書いてあって、とても面白い。 シグナルを使わないでログをローテーションするとか、ログフォーマットを工夫してるとか、出力の HTML にホスト名などを記載しておいてサポートに役立てるとか、いろ
ベイエリア情報局: Yahoo でカスタマイズされた apache のまとめ
元Vine SPARC開発者。2003年度未踏ユース採択者。海外でも活躍できる国際的なLinuxエンジニアになることを夢見て日本で頑張っています。ウノウ株式会社にて写真共有SNS「フォト蔵」を開発中。 Yahoo で使用されている独自カスタマイズされた apache についてのプレゼンテーション資料が公開されていたので、自分なりにまとめてみました。 Hacking Apache HTTP Server at Yahoo! HTTPヘッダーの "Server:" は出力しない apache 1.3 がベース 安定動作が重要 スレッドは使用しない(動作が複雑) ログフォーマットは独自フォーマット ログローテンションは独自の仕組みを持つ。シグナルもパイプも使用しない レスポンスコード 30x は最小限のものだけ出力 コンテンツは gzip 圧縮して出力(HTTP/1.1)。CPU 使用率が 90
RTFM
ドキュメントを読まない輩 結論: ぐぐるな。ドキュメントに書いてあるとわかっているのになぜ google に頼る? 巷間でよく見られる、しかし Apache の配布アーカイブ一式に含まれているドキュメントをちゃんと読んでいれば起きないはずの設定ミスや、ミスではないがふしぎな設定について。 <Limit>: セキュリティ上のリスクがあるのですみやかに確認・修正されたし AddDefaultCharset: 穴ではないが修正が必要 LanguagePriority: ほとんどのサイトでは無意味 ScriptAlias: 管理者でなくエンドユーザがハマるのはしかたないけれど SetEnvIf: どこも間違ってはいないのだが… Apache のドキュメントは日本語未訳なところが一部残っているけれど、全体として非常によくまとまった情報源である。少なくとも、「このディレクティブをどう設定するとどう動く
HTTP リクエストの処理完了までの所要時間をログに記録する
Landscape トップページ | < 前の日 2005-12-27 2005-12-28 次の日 2005-12-29 > Landscape - エンジニアのメモ 2005-12-28 HTTP リクエストの処理完了までの所要時間をログに記録する 当サイト内を Google 検索できます * HTTP リクエストの処理完了までの所要時間をログに記録するこの記事の直リンクURL: Permlink | この記事が属するカテゴリ: [IIS] [Apache] [http] http リクエストの処理にかかった時間をロギングする方法のメモ。 集計や分析、パフォーマンス劣化の監視などで活用するため、http サーバ側でリクエストを処理したあとレスポンスを返すまでどれだけ時間がかかったかを記録したい。 所要時間などの値は http サーバ上で動くアプリケーション側でロギングする仕組みを作るの
MODULE.JP - 「自信を持ってApacheを操るために」スライド公開
Internet Week 2005で行ったチュートリアル「自信を持ってApacheを操るために」で使用したスライド資料をPDFで置いておきます。資料だけ見ると役に立つところが少ない、というかワケワカメですな。 Internet WeekのWebサイトでも後々資料の配布とビデオ配信される予定ですが、少し時間がかかると思うので先行してこちらに置いておきます。 T16:自信を持ってApacheを操るために 〜内部構造からたどるWebサーバ設定のキモ (PDF 800Kbyte) チュートリアルの概要についてはInternet Week 2005 Webサイトのプログラム詳細をご覧ください。当日お越しいただいた皆様、ありがとうございました。
Poundで作るロードバランサとSSLラッパ(1/4) ― @IT
Webサーバの負荷を軽減する方法として、リバースプロキシによる代行とロードバランサによる分散が考えられる。今回は、これらによる負荷の低減方法について解説する。(編集部) Apache自体のチューニングによる性能向上には限界があります。よりパフォーマンスを求めるなら、次にやるべきことはメモリの追加や高性能なCPUへの交換など、ハードウェアの見直しです。しかし、それにも限界があります。 リバースプロキシとロードバランサ ハードウェア単体による性能向上が限界に達した場合は、サーバ構成の見直しを行います。まず考えられるのが、リバースプロキシをWebサーバの前面に立ててクライアントからのアクセスを肩代わりさせる方法です。Webサーバがボトルネックになるのを防ぐとともに、セキュリティ向上にも寄与します。 もう1つの方法は、より高可用性を意図した構成として負荷の分散を図ることです。高可用性とは、サーバの
[R30] : 楽天は本当にAppleに対抗しようと考えたのか?
湯川氏の「ネットは新聞を」ブログで、「楽天はTBS買収から撤退せざるを得ないだろう」という予測が開陳されている。面白いのは、そもそもライブドアが試みて失敗したテレビ局の買収に楽天があえてまた乗り出した理由を、世間でよく言われる「株価を上げ続けなければならないから」ではなく、「アップルに対する対抗軸をコンテンツ企業の買収で作りたかったから」と見ている点だ。 ここで湯川氏を批判するのは簡単なことだ。だが、この仮説はとても面白い示唆を含んでいるように思うので、それに関連して少し考えをめぐらせてみたい。 以前に書いた「Video iPodに勝つためには何をすればいいか。」のエントリで、僕はiPodのビジネスに勝つためには、まず映像配信のプラットフォーム(ソフトウェア)を作って、安いハード(プレーヤー)と一緒にばらまいてしまうことだ、と書いた。コメント欄でも指摘されているように、現時点でのApple
![[R30] : 楽天は本当にAppleに対抗しようと考えたのか?](https://cdn-ak-scissors.b.st-hatena.com/image/square/ca4c1668addd937635f304418d0e1b58fc22d03c/height=288;version=1;width=512/http%3A%2F%2Fshinta.tea-nifty.com%2F.shared-cocolog%2Fnifty_managed%2Fimages%2Fweb%2Fogp%2Fdefault.png)
Reverse Proxy と mod_perl の MaxClients - naoyaのはてなダイアリー
NDOメソッドっぽく質問されてたので答えてみる。 あと聞きたいのは(←ずうずうしい…)、アプリケーションサーバとかリバースプロキシサーバとかのapacheなどのMaxClientsをどのくらいにしているのかですね。カリカリにチューニングしているのか、ハイパフォーマンスMySQLでJeremyさんがYahoo! comのことを書いてた様に1台当り MaxClients 30 ぐらいしか立ち上げてないのか。 リバースプロキシはメモリの許すギリギリのラインまで MaxClients を上げて設定してます。スタティックな一定のコンテンツを返すあるいは Rewrite するのが仕事のほとんどなので、CPU パワーや I/O もほとんどかからず、最近のスペックのマシンであればリバースプロキシの性能はメモリ量に完全に依存してる感じです。 ので、MaxClients の数がなるべく稼げるように子プロセスの
[Jakarta/Apacheウォッチ]第18回 Apache Software Foundationの全プロダクトと注目プロジェクト
[Jakarta/Apacheウォッチ]第18回 Apache Software Foundationの全プロダクトと注目プロジェクト 前回は,Apache Software Foundation(以下ASF)という組織や内部の仕組みにフォーカスしてお話しした。ASFではこれまで断片的に紹介してきたように,非常に多くのプロダクトが,前回紹介したような多くのプロジェクトによって開発されている。 今回はそれらのプロジェクトで開発されているプロダクトにフォーカスし,その後,J2EEと関連の深いプロダクトをピックアップし,どのようなプロダクトが存在するかを紹介していきたい。 現在のASFではいったいどのくらいのプロダクトが開発されているのだろうか。 実は,そのすべてのリストを網羅したページはASF内には存在しない。これは,個々のプロダクトの開発管理は,各プロジェクトに任されているため,ASFとして
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
mod_expiresを使ったキャッシュコントロールでアクセス軽減 - ぎじゅっやさん
.htaccess ファイルを簡単作成「.htaccess Editor」:phpspot開発日誌