共用サーバにおけるSymlink Attacksによる攻撃とその対策について - さくらインターネット創業日記
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
Web Server
全世界的に、Web サーバーとしては Apache が一番多く使われています。その Apache を利用する際になるべく最適な環境を作る方法についてまとめてみます。 1. はじめに Apache の設定ファイルは、httpd.conf、srm.conf、 access.conf と三種類ありますが、最近のバージョンではほとんど httpd.conf のみで行います。Apache 2.0 では、srm.conf, access.conf は無くなります。そこで、設定はすべて httpd.conf で行なうものと思って作業してください。 2. Apache のチューニング(httpd.conf) 設定ファイルでは、幾つかディレクティブがあります。その中で注意して設定することで、Apache を最適に動作させるディレクティブ説明と方法を記述します。 2.1. HostnameLookups
[Apache] CGI 使うなら suEXEC 設定しとこ | バシャログ。
正月気分が抜けねぇぜ〜・・・。2012 年初投稿!今年もよろしくお願いします。nakamura です。 今年の一発目は Apache のちょいネタ。Movable Type などの CGI プログラムを Apache で動かす際に設定しておくとちょっといい感じになる suEXEC について解説してみます。Apache をよくさわる人なら何を今更なエントリーだと思いますので、華麗にスルーしちゃってください。 suEXEC ってなんなの su して exec するんです。要は CGI の実行ユーザを任意のものに指定する為の仕組みです。デフォルトでは Apache の起動ユーザになります。 詳細はマニュアルを参照してください。 suEXEC サポート - Apache HTTP サーバ suEXEC を使わない場合の問題点 CentOS のデフォルトでは Apache の起動ユーザである apa
![[Apache] CGI 使うなら suEXEC 設定しとこ | バシャログ。](https://cdn-ak-scissors.b.st-hatena.com/image/square/20c0b0df62783283e7ba333774006e31f6235c74/height=288;version=1;width=512/https%3A%2F%2Fbashalog.c-brains.jp%2Fimages%2Fdb01.jpg)
連載記事 「仕事で使える魔法のLAMP」
LAMP環境、自分で作りませんか? 連載:仕事で使える魔法のLAMP(1) Webアプリケーションの開発・実行環境として高い人気を誇るLAMP。ソースコードからビルドしてみませんか?
.htaccess実践活用術
現在、WEBサーバのシェアとしてはApacheが過半数を占めています。英国Netcraft社の調査によると2016年4月におけるApacheのシェアは49.15%である(active sitesにおけるシェア。参照:Netcraft: April 2016 Web Server Surveyy)。 2位のnginxを大きく引き離しています。このような世界的に人気の高いApacheをウェブマスターとして使いこなす方法として、このホームページでは.htaccessの利用法について解説します。httpd.confに触ることのできない一般のウェブマスターさんを対象に、「アクセス制限」「カスタムエラーページの設定」「MIMEタイプの設定」など実用度の高い利用法に絞って紹介します。「何をしたいか」のかを中心に、.htaccessの利用法を説明する構成になっています。
連載記事 「ApacheによるWebサーバ構築」
Apacheについて知ろう 連載:ApacheによるWebサーバ構築(1) 「Apache」でWebサーバを構築。今回は、「なぜApacheなのか?」を改めて確認するとともにApacheの概要を解説する
パフォーマンス改善やセキュリティに役立つ.htaccessの設定 | コリス
ウェブサイトのパフォーマンスの改善やSEO、セキュリティに役立つ.htaccessの設定を紹介します。 17 Useful Htaccess Tricks and Tips 備考:Apache チュートリアル: .htaccess ファイル、Apache コア機能 [ad#ad-2] .htaccessの設定:パフォーマンスやSEO関連 .htaccessの設定:セキュリティ関連 .htaccessの設定:パフォーマンスやSEO関連 .htaccessでタイムゾーンを設定 .htaccessでタイムゾーンを設定します。 例:東京 SetEnv TZ JST-9 もしくは、 SetEnv TZ Asia/Tokyo .htaccessで301リダイレクトを設定 .htaccessで301リダイレクト(永続的なリダイレクト)を設定します。 例:旧ファイル(old.html)、新ファイル(new
Apacheのアクセス制御をちゃんと理解する。 - こせきの技術日記
Apacheの設定で Order deny,allowとか Satisfy anyとか、なんだか意味わからん人のために。僕はずっとわかってなかった。 基本 Apacheのアクセス制御には、 ホストによる制御 (Order,Allow,Deny) ユーザ認証による制御 (Auth*, Require) の2通りがある。 Satisfyは、2通りあるアクセス制御の両方を満たす必要があるかどうかを決定する。デフォルトはSatisfy all。Satisfy anyなら、どちらか片方満たせばよい。 Order http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order Order deny,allowは、全てのホストからのアクセスを許可する。 Order allow,denyは、全てのホストからのアクセスを拒否する。 Order d
UbuntuでApache+PHP+MySQLの開発! | 不定期ソフトウェア開発
Apache+PHP+MySQLのシステムを開発。 これこそWindowsよりUbuntuを使う方が色々いい。 実際のApache+PHP+MySQLの多くはLinuxで動いているからだ。 私はWeb系の作業が多いので,Windowsよりも作業効率がアップしている。 その理由: ・Ubuntu デスクトップ版でも,サーバソフトをインストール出来る。 ・UbuntuはLinuxである。 ・Ubuntuで WebサーバApacheやPHPやMySQLやPerlを動かすことは,Linuxで動かすことになる。 ・WebサーバApacheの多くはLinuxで動いている。PHPやMySQLもLinuxで動いているものが多い。 ・UbuntuでのWeb開発は,実際のWebサーバと同じ環境で出来る。 ・UbuntuはWindowsの代わりとして十分に使えるほど快適である。またハードウェア認識能力・対応がよ
サイトを公開する際に最低限抑えておきたい Apache の設定 | バシャログ。
こんにちは nakamura です。最近トルシエさんテレビ出すぎじゃありません?ウィイレヤロウヨ。オフサイドダヨ! さてさて今回は意外と知られてないけど、サイトをインターネットに公開する際には知っておいた方が良い Apache の設定をいくつかご紹介します(一部 PHP の設定もありますが)。この設定をしていないからといって即危険にさらされるという訳でもありませんが、リスクの芽は摘んでおくに越した事はありませんよね。 無駄な HTTP ヘッダを返さない ディストリビューションにより異なるかもしれませんが、CentOS デフォルトの設定の場合 Apache が返してくる HTTP ヘッダは以下のようなものです。 HTTP/1.1 200 OK Date: Mon, 05 Jul 2010 01:01:14 GMT Server: Apache/2.2.3 (CentOS) X-Powered
SSLによる安全なWebサイト作り
アクセス制限をもってしても、盗聴や改ざんには対応できない。通信経路をセキュアにしなければならない。今回は、SSLを用いてより信頼性の高いWebサイトを構築する方法を紹介する。 IP認証、ユーザー認証、データベース認証と、Webコンテンツの閲覧を制限する方法を順に紹介してきた。しかし、盗聴や改ざんには対応できない。従って、悪意を持った第三者が、個人情報や機密情報を盗聴するかもしれない。ちょっと探せば、ネットワークの通信を盗聴するためのツールが無料で公開されているのが現実だからだ。 盗聴や改ざんから身を守るには、通信信号を暗号化するのが最も簡単かつ確実な方法である。Web、すなわちHTTPの通信の暗号化には、SSL(Secure Socket Layer)を用いるのが一般的だ。なお、ApacheへのSSLの組み込み方法については連載第4回の「ApacheのSSL対応化と環境設定」を参照していた
Apacheについて知ろう
Webサーバの必要性 日本のインターネット利用者数はすでに2000万人(全世界では約2億人)を突破し、世帯普及率は約25%に達したが、なお急成長を続けている。従って、それだけの利用者に応じられるだけのWebサーバが必要であり、いうまでもなくインターネットに欠かせない存在となっている。 ちなみに、日本国内のサーバ数(JPドメインDNSへの登録数:Webに限らない)は、いまや236万台を超えて世界で第2位を誇っている。もちろん、この数にいまはやりの.com(ドットコム)で登録しているサイト(企業)やDNSに登録されていないサーバは含まれない。 Webサーバの大半を所有するのは、個人でなく法人(企業)になるわけだが、社外への情報発信手段としてWebは欠かせないものとなっている。特に新興企業では、何はともあれWebサイトを立ち上げることが自社のアピールや信頼につながるとさえいわれているほどである。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Apache入門
IBM Developer
Linux Square全記事インデックス