Apacheセキュリティ設定 - Qiita
概要 Apache の設定について共通化できるセキュリティ設定とその各項目についてまとめた。 設定例 必須設定 cat << _EOF_ > /etc/httpd/conf.d/security.conf # バージョン情報の隠蔽 ServerTokens Prod Header unset "X-Powered-By" # httpoxy 対策 RequestHeader unset Proxy # クリックジャッキング対策 Header append X-Frame-Options SAMEORIGIN # XSS対策 Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff # XST対策 TraceEnable Off <Directory /var/www/html>
ApacheのVirtualHostによる高集積Webホスティングでsymlink問題を根本解決する方法について考えた
人間とウェブの未来(旧) 「ウェブの歴史は人類の歴史の繰り返し」という観点から色々勉強しています。2014年までの人間とウェブの未来の旧ブログです。 最近、各所でApacheのVirtualHostを利用した高集積ホスティングのセキュリティに関するインシデントが起きています。僕自身、自分の専門の一つがWebサーバのセキュリティなので、他人事には思えず、毎日各所の経過情報を眺めています。また、数社からApacheのセキュリティに関してもいくつか質問を受けたりしており、公に話せるような内容はこのブログでも公開していきたいと思います。 ということで、ApacheのVirtualHostによる高集積Webホスティングにおけるsymlink問題を根本解決するにはどうしたら良いのかを考えました。まずは、静的コンテンツも動的コンテンツのようにファイルのユーザ権限で処理する方法から紹介します。その後、ホス
Webを踏み台に、Apacheを狙う不正モジュール「Darkleech」の被害拡大
「マルウェア配布の手段として、サーバを改ざんする手口は非常に人気が高まっている」とセキュリティ企業のESETは指摘する。 悪質なApacheのモジュールをWebサーバに仕込み、Webサイトを閲覧したユーザーをマルウェア感染サイトに誘導する攻撃が続いているという。セキュリティ企業のESETは7月2日、これまでに4万を超すIPアドレスやドメインがこの攻撃に使われたと伝えた。 同社のブログによると、この攻撃には「Darkleech」という悪質なApacheモジュールの亜種が使われている。このモジュールを仕込まれたWebサーバでホスティングされているWebサイトをユーザーが閲覧すると、IFRAME経由で悪質なURLからのコンテンツが読み込まれる。 ESETの集計では、先週だけで少なくとも270のWebサイトがこの手口でユーザーを不正なサイトにリダイレクトしていたという。 リダイレクト先サイトには、
Apache狙いの攻撃横行、48カ国で2万超のWebサイトが感染か
攻撃ツールキットの「Darkleech」はApacheを使ったWebサーバに感染し、Webサイトを見たユーザーをマルウェアに感染させるという。 広く普及しているWebサーバソフトのApacheを狙った攻撃が横行し、過去数週間だけで推定2万を超すWebサイトが被害に遭っているという。IT情報サイトのArs Technicaや米Cisco Systemsのブログが4月3日までに伝えた。 それによると、この攻撃ではApacheを使ったWebサーバが「Darkleech」という攻撃ツールキットに感染。被害は米国や英国を中心とする48カ国に及んでいる。これまでに感染が確認された中にはLos Angeles TimesやSeagateなどの大手企業が運営しているWebサイトも含まれるという。なお、この両社はArs Technicaに対し、感染が発覚した時点で対処済みだと説明している。 Darkleec
パフォーマンス改善やセキュリティに役立つ.htaccessの設定 | コリス
ウェブサイトのパフォーマンスの改善やSEO、セキュリティに役立つ.htaccessの設定を紹介します。 17 Useful Htaccess Tricks and Tips 備考:Apache チュートリアル: .htaccess ファイル、Apache コア機能 [ad#ad-2] .htaccessの設定:パフォーマンスやSEO関連 .htaccessの設定:セキュリティ関連 .htaccessの設定:パフォーマンスやSEO関連 .htaccessでタイムゾーンを設定 .htaccessでタイムゾーンを設定します。 例:東京 SetEnv TZ JST-9 もしくは、 SetEnv TZ Asia/Tokyo .htaccessで301リダイレクトを設定 .htaccessで301リダイレクト(永続的なリダイレクト)を設定します。 例:旧ファイル(old.html)、新ファイル(new
第1回 NoSQL、そしてCassandraとは | gihyo.jp
NoSQLミドルウェアの特徴をもう少し細かく挙げてみます。分量の都合もあり個別には触れませんが、それぞれのNoSQLミドルウェアで差別化部分に関してはかなり詳細に説明がされていますので、ぜひそちらを参照してみてください。 高速に動作する リレーションモデルではないデータモデル スケールアウト型アーキテクチャ コモディティサーバによって構築される スキーマフリー SPOF(単一故障点)を持たない 自動的に複数台へレプリケーションする イベンチュアルコンシステンシまたは一貫性の選択が可能 SQLのような強力なクエリ言語を持たず、シンプルな問い合わせしかできない Cassandraとは何か NoSQLミドルウェアの筆頭といえばGoogle BigTableやAmazon Dynamoですが、オープンソースの世界でもいろいろなものが出てきています。その中でも最近特に注目を集めているのが、Apach
もっとApacheを知ろう いまさら聞けない!? Web系開発者のためのサーバ知識 第2回 - @IT
もっとApacheを知ろう:いまさら聞けない!? Web系開発者のためのサーバ知識(2)(1/3 ページ) 自動起動の設定 第1回「Webサーバから始めよう」で手順を追って設置した/etc/rc.d/init.d/httpdというApacheの制御スクリプトは、システム起動時におけるApacheの自動起動に利用できます。 今回は、Linuxのシステム起動時に各種のサーバプログラムを自動的に起動させる方法を、Apacheを例に紹介しておきましょう。 まず、/etc/rc.d/init.d/配下に、サーバ制御スクリプトを設置します。制御スクリプトの内容はサーバプログラムにより異なりますが、多くのパッケージではインストール時に自動で設置されるか、またはサンプルが提供されます。今回の例では、すでに紹介した手順で/etc/rc.d/init.d/httpdを設置済みです。 次に、/etc/rc.d/
告白されたときの正しいステータスコードの返しかた、読みかた - As Sloth As Possible
今日は秋らしいよいお天気だったので、それとは特に関係なく今日も今日とてぼーっとディスプレイに向かっていたところ、こんな記事を見付けた。 勇気を出して告白! その返事で覚えるHTTPステータス・コード あらあらまあまあ。なんだか俺、この記者の方にシンパシーを覚えるよ。 この手のネタは大好物なのだけど、404はお断りの返事ちゃうやん、てか断り方だけでも何パターンもあるんやで、とうずうずしてきたので便乗して考えてみることにした。例によって400系レスポンスに偏ってるのはお約束。しかたないよねー。告白のレスポンスなんて受けとる方でも返す方でも400系しか知らないもん。ごめん嘘だ。503(「お前本当にタイミング悪いな」)返したことある。再リクエストはありませんでした。200?ああ、そんなステータスコードもありましたね。おいしいのかな。使ってみたいです。 (予想外に反響があったので追記)見ての通り全部
Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan
Apacheのバージョン2.2.12以降では、SNI(Server Name Indication)という、SSLプロトコルに対する拡張機能がサポートされているため、名前ベースのHTTPサイトを設定する場合と同じように名前ベースのHTTPSサイトを設定することが可能になっている。本記事では、Apacheのこの機能について紹介する。 Apache Webサーバがバージョンアップし、成熟していくに伴い、新機能の追加やバグの修正が行われてきている。そして、バージョン2.2.12で追加された機能のうち、最も重要なものはおそらく、単一IPアドレス上で複数のSSLサイトを運用できるようにするという、長らく持ち望まれていた機能だろう。 これまでは、特定のIPアドレスに対してSSL対応のWebサイトを割り当てた場合、そのサイト1つしかSSL対応のWebサイトを運用することができなかった。つまり、IPアドレ
メンテナンス中画面を出す正しい作法と.htaccessの書き方 | Web担当者Forum
今回は、Webサイトやサービスをメンテナンス中にする場合に、どのURLにアクセスしても「メインテナンス中です」の画面を出す正しいやり方を、人間にも検索エンジンにも適切にする作法を主眼に解説します。 この週末の土曜深夜~日曜早朝にかけて、データセンターの設備メインテナンスのため、Web担を含むインプレスグループのほとんどのWebサイトが、どのURLにアクセスしても「メンテ中です」という表示になっていました。 なのですが、その実装がちょっと気になったので、「正しいメンテナンス画面の出し方」を説明してみます。 ※2010-01-16 Retry-Afterを指定するHeaderの指定を修正しました(コメント参照) ※2009-06-17 RewriteCondから [NC] 条件を削除しました(コメント参照) ※2009-06-16 Retry-Afterの記述をGMTに変更しました(コメント参
2php : PHPのインストール(Windows)
WindowsにPHPをインストールする WindowsにPHPをインストールするとなると、先ほどのApacheのインストールよりも手間がかかります。ですが、これも特に難しいということはありません。(難しいという先入観が作業を本当に難しくさせるだけですので、これから先は難しいといった先入観は無くしてください。) インストールの手順は以下のようになります。 Windows用のPHPをダウンロードする Windows用のPHPをインストールする Windows用のPHPを設定する Windows用のApacheの設定を変更する Windows用のPHPの動作を確認する Apacheのインストールの時と比べていろいろな手順がありますが、順を追ってしていきましょう。 Windows用のPHPをダウンロードする ダウンロードも数段階ありますが、難しいことはありません。http://www.php
ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)
ヤフーの画像はなぜyimg.jpドメインなのか? サイト高速化の手法とヤフーの失敗例 でヤフーがなぜドメインを変えて画像サーバを運用しているかが書かれている.「静的なコンテンツに対してクッキーフリードメインを使うことによって速度向上を狙う」というのが理由とあって,これはこれでもちろん正しいのだけれど,これはどちらかというと副次的な理由で本当の理由は違う. クッキーフリードメインを使うことで悪意あるFlashコンテンツなどから自社ドメインのクッキーを守るためというのが本当の理由で,これはあちこちで使われているテクニックだ.Flashコンテンツは外部の業者さんに作ってもらったり,広告の入稿素材として入ってくるので,信頼できないデータとして取り扱う必要があり,万一まずいデータがアップされることがあっても大丈夫にしておく必要がある. 最近ユーザからの任意のコンテンツを受けつけて同一ドメインで配信し
.htaccessで使える16の技:phpspot開発日誌
16 Useful .htaccess Tricks and Hacks For Web Developers : Online Marketing Blog - Website Development & Website Marketing tips and Strategies .htaccessで使える16の技が色々と紹介されていました。 1. ErrorDocumentでエラーページ指定の方法 ErrorDocument 401 /error/401.php ErrorDocument 403 /error/403.php ErrorDocument 404 /error/404.php ErrorDocument 500 /error/500.php 2. Timezone設定 SetEnv TZ America/Houston 3. IPブロッキング allow from al
知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)
こんにちわ。モバイルディレクターの飯田瞬です。 ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。 今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。 割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います... 【01】SSLサーバ証明書って何だろう? SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。 SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化
Apache Commonsを総ざらってみる。 - 都元ダイスケ IT-PRESS
ということで、現状のコンポーネントをリストアップして、概要を日本語(一部英語のままw)でまとめてみました。今後、個人的に興味のあるものを順にピックアップして、もう少し深く知っておく、という作業をしてみようかな、と思ってます。 まずは、commons-langを掘ってみている。すげええええええの連続です。近々ご紹介しますとも。 Properシリーズ(正式プロジェクト) コンポーネント mvn 説明 参考 attributes ○ メタデータ属性(docletタグ等)ランタイムAPI。javadoc内アノテーションを処理する。Java4以前で有用かも。 参考 beanutils ○ Reflection/Introspection APIのラッパー 123 betwixt ○ JavaBeans・XML間の相互マッピングAPI 参考 chain ○ "Chain of Responsibili
Apache/PHP/MySQLなどをWindowsに一発でインストールできる「VertrigoServ」 - GIGAZINE
Apache/PHP/MySQL/SQLite/SQLiteManage/PhpMyAdmin/Zend OptimizerをWindowsにまとめてオールインワンでインストールすることができるようになっているのがオープンソースで開発されているこの「VertrigoServ」。 これらの各ソフトについて簡単に設定を変更できるコントロールパネルっぽいものがタスクトレイから一発で呼び出せるようになっており、非常に設定が簡単です。また、インストーラは日本語化されているので安心です。 実際のインストール方法などは以下から。 VertrigoServ http://vertrigo.sourceforge.net/ ダウンロードしたら実行します 「OK」をクリック 「次へ」をクリック 「同意する」をクリック 「次へ」をクリック さらに「次へ」をクリック 「インストール」をクリック インストール中……
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
.htaccessに関する覚え書き | IDEA*IDEA
Ywcafe.net