今こそ見直すApacheの設定 - blog.nomadscafe.jp
nginxやvarnishなどがアツいですが、Apacheもまだまだ実績や安定性から採用されていると思います。ここではデフォルトとは異なる値に変更するサーバ設定を中心に、パフォーマンス改善、安全性向上のためのApacheの設定を紹介します。 mpmの確認 > /path/to/bin/httpd -V Server version: Apache/2.2.19 (Unix) Server built: Jun 23 2011 17:13:13 Server's Module Magic Number: 20051115:28 Server loaded: APR 1.4.5, APR-Util 1.3.12 Compiled using: APR 1.4.5, APR-Util 1.3.12 Architecture: 64-bit Server MPM: Worker PreforkやW
Scope::Container でリソース管理を行う - Articles Advent Calendar 2010 Hacker
メリクリ!ライヨロ!YAPC::Asia 2010でベストスピーカー賞の nekokak さんの次に書かせて頂きます。kazeburo です。 先月 Scope::Contaier というモジュールをリリースしましたが、CPAN、紹介したblogはこちら。もともとこのモジュールを書いたのはMySQLに対する接続を制御するためでした。 某日、某サービスのMySQLのPROCESSLISTを見た時に mysql> show processlist; +-------------+-------------+-------------------+------+---------+----------+---------------------------------+------+ | Id | User | Host | db | Command | Time | State | Info
Kazuho@Cybozu Labs: Apache で X-Reproxy-URL ヘッダを使えるようにするモジュール mod_reproxy を書いた
ウェブアプリケーションにおいて、認証がかかっている画像や大きなファイルを配信する場合には、Perlbal 等でサポートされている X-Reproxy-URL ヘッダが有効なことが知られていて、その理由としては、 (メモリを大食いする) アプリケーションサーバのプロセスを転送終了まで占有しない HTTP ベースの分散ファイルシステムとリバースプロキシが直接交信するので、ネットワーク負荷が低い といった点が挙げられます。「でも、Apache は X-Reproxy-URL ヘッダをサポートしてないんだよねー」という話が、先日の YAPC::Asia 2009 においても話題になっていました[要出典]。回避策としては、ワンタイムURLのような手法もあるのですが、セキュリティな懸念もあります。 なんとかしたいなと思っていたのですが、気が向いたので、Apache に X-Reproxy-URL ヘッ
apache or CGI.pm でhttp requestのPOST容量を制限 - end0tknr's kipple - web写経開発
apacheでは、httpd.confにLimitRequestBodyを指定 http://httpd.apache.org/docs/2.2/ja/mod/core.html 例えば、apacheで10kbyteの容量制限を行う場合、httpd.confに次のように記載します。 ※grobal, , のコンテキストに指定できます LimitRequestBody 10240この状態で130kbyteのファイルをpostすると、サーバへの接続が切断され、access_logやerror_logには、次のように表示されさます。 access_log 192.168.0.1 - endou021 [22/Feb/2009:11:16:35 +0900] "POST <略> HTTP/1.1" 500 1188error_log [Sun Feb 22 11:16:35 2009] [erro
mod_log_config - Apache HTTP サーバ
Summary This module provides for flexible logging of client requests. Logs are written in a customizable format, and may be written directly to a file, or to an external program. Conditional logging is provided so that individual requests may be included or excluded from the logs based on characteristics of the request. Three directives are provided by this module: TransferLog to create a log file
Configuration Sections - Apache HTTP Server Version 2.4
Directives in the configuration files may apply to the entire server, or they may be restricted to apply only to particular directories, files, hosts, or URLs. This document describes how to use configuration section containers or .htaccess files to change the scope of other configuration directives. There are two basic types of containers. Most containers are evaluated for each request. The enclo
apache module 開発事始め : DSAS開発者の部屋
先日は,必要に迫られて Apache 1.3 の mod_access を改造したという話を書きました.その時は単にあるものを改造しただけでしたが,ふと思い立って,一から Apache 2.0 用のモジュールを書いてみました.書く上で色々 Web サイトを探してみたのですが,あまり日本語の入門向けの文章が見あたらなかったので,開発する上で分かったこと(と言うほど大したものじゃないですが)をまとめておこうと思います. フェーズには,例えばそのリクエストを受け付けるか拒否するかを決めるフェーズや,リクエストされた URI と実際のディスク上のファイルとの間の対応付けを解決するフェーズ,そしてもちろん実際のレスポンスを生成するフェーズ等があります.hook 関数を挿入するポイントはこれらのフェーズになりますが,もちろんその全てのフェーズのための関数を用意する必要はありません.また個別の設定を施す
Apacheのアクセス制御をちゃんと理解する。 - こせきの技術日記
Apacheの設定で Order deny,allowとか Satisfy anyとか、なんだか意味わからん人のために。僕はずっとわかってなかった。 基本 Apacheのアクセス制御には、 ホストによる制御 (Order,Allow,Deny) ユーザ認証による制御 (Auth*, Require) の2通りがある。 Satisfyは、2通りあるアクセス制御の両方を満たす必要があるかどうかを決定する。デフォルトはSatisfy all。Satisfy anyなら、どちらか片方満たせばよい。 Order http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order Order deny,allowは、全てのホストからのアクセスを許可する。 Order allow,denyは、全てのホストからのアクセスを拒否する。 Order d
Apacheモジュールの作成とgdbとloggerでのデバッグ方法 - よねのはてな
ApacheのFilterモジュールを作った話しをしたらid:c9katayamaに情報公開しろと言われたままでしたので公開します。 C言語の勉強しようかな、Apache2.xのモジュールを作ってみようかな、gdb使ってデバッグしてみようかなと考えてた人にお勧めです。 JavaでのServletの開発経験のある人であれば、Filterの処理の動きやリクエストコンテキストの考え方は分かり易いはずなので、エントリを読み終わる頃にはApacheのモジュールをgdbでデバッグしながら作る事が出来るはずです。 mod_orzを作成 今回はmod_orzというApacheモジュールを作成します。 Apacheモジュールを作成する際には、apxsというモジュール開発用のコマンドを使用しテンプレートを作ります。 # apxs -g -n orz Creating [DIR] orz Creating [F
HBase vs Cassandraに関する河野氏からの意見
「才能を非生産的な事に浪費してこそ、真のヲタクである」 この名言にかなう為に日々色々学ぶ日々(多分)。 tatsuya6502 #Cassandra と #HBase の件ですが、Apacheのトップレベルプロジェクトなのか、サブプロジェクトなのかというのは、それぞれのプロジェクト自身が選択することなので、「Apache的にはこちらが優勢」といった考え方はないと思います #Cassandra と #HBase は、それぞれ得意とする分野も異なりますので、両方に存在意義がありますし、開発メンバーも全く別なので、開発の優先順位をつける必要もないはずです #HBase の場合は、 Hadoop の各コンポーネント(HDFS、ZooKeeper、Map Reduce)があって初めて成り立つ製品ですし、大規模なデータセットを意識していますので、 Hadoop のサブプロジェクトになっている現在の形が
AddDefaultCharset(core - Apache HTTP サーバ)
This directive enables operating system specific optimizations for a listening socket by the Protocol type. The basic premise is for the kernel to not send a socket to the server process until either data is received or an entire HTTP Request is buffered. Only FreeBSD's Accept Filters, Linux's more primitive TCP_DEFER_ACCEPT, and Windows' optimized AcceptEx() are currently supported. Using none fo
LinuxでApacheやTomcatのログをローテーションするならlogrotate : SIer魂
以下2ファイルを/etc/logrotate.dに配置する。 それだけ。 <ファイル名:apache> # Logrotate file for Apache /usr/local/apache2/logs/*log { missingok copytruncate daily rotate 31 } <ファイル名:tomcat> # Logrotate file for Tomcat /usr/local/apache-tomcat-6/logs/catalina.out { missingok copytruncate daily rotate 31 sharedscripts postrotate /bin/rm -f /usr/local/apache-tomcat-6/logs/`date --d '32 days ago' '+*%Y-%m-%d.log'` endscript
Apacheに新たな脆弱性発見 | スラド セキュリティ
ストーリー by hylom 2009年06月23日 15時12分 Slowlorisはワシントン条約で保護されている小型のサルだそうで 部門より Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ(本家/.記事より) この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。 脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6.0、 IIS7.0、およびlighttpdでは確認されていないとのこと。 SA
セキュリティホール memo - 2009.06
》 フィンランドの摩訶不思議な飴 (フィンランド出張旅行記 その1) (エフセキュアブログ, 6/29)。フィンランドといえばやっぱり、北欧空戦史かなあ。安価だし、文章も読みやすい。 やる夫が雪中の奇跡を起こすようですでもいいかも。 ふつうに読みたい人は: 雪中の奇跡。 ふつうじゃなく読みたい人は: 冬戦争 (アンサイクロペディア) 》 京教大事件ネット中傷学生、反省文後も再び (読売, 6/29)。なんだかなあ。関連: またネットで準強姦被害者中傷 訓告処分の京都教育大生 (asahi.com, 6/29) 【集団暴行】京都教育大 退学は当面見送り 停学処分に戻し更生へ (産経 MSN, 6/24) 》 植草元教授に実刑、不当の声も?ブロガー次々と反論アップ (まぐまぐニュース, 6/29)。最高裁第 3 小法廷が上告棄却、懲役 4 か月の実刑確定。 まぁ、最高裁裁判官の第 3 小法廷は
SlowlorisというApacheへのDoS攻撃ツール
cles::blog 平常心是道 blogs: cles::blog NP_cles() « KTCapt :: VMWareでディスクを拡張する » 2009/06/28 SlowlorisというApacheへのDoS攻撃ツール httpd PoC DoS 14 1へぇ 確か先週くらいに誰かからチラッとApacheに細工されたHTTPヘッダを送りつけるとDoSできる問題が見つかったらしいよという話を聞いたような気がしたので、ちょっと押さえておいた方が良いかなと思って調べて見たらどうやらこのSlowloris HTTP DoS*1というもののようです。 Apache HTTP DoS tool released According to the web site where the tool was posted, Apache 1.x and 2.x are affected as
Slowloris HTTP DoS 攻撃について
ちょっと前に Apacheに新たな脆弱性発見 - スラッシュドット・ジャパン で紹介されていた脆弱性なんですけど・・・会社のお達しで各サービス毎に状況報告ってイベントがあったので、ちょいと脆弱性試験してました。そのまとめです。 Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ(本家/.記事より) この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。 脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6
nginxでreverse proxyしてslowlorisを防いでみる - なんか:かんがえて-6
Slowloris HTTP DoSというスクリプトが最近話題で、だれでもかんたんに、そんなに帯域も使わず、おもにapacheにDOSをかませます。 ためしに(自分のサーバに)かましてみたらカンタンでした。いにしえのSYN flood attackっぽい芸風な感じがします。 残念ながらapache系では、設定を追い込むとかのアプローチでは、なるべく被害を小さめにおさえるぐらいのことしかできないぽいです。猛烈ないたずら電話の被害に遭っているときに、かかってきたいたずら電話はなるべくすぐ切るようにしましょう! ぐらいの負け戦ですね。 リクエストをどう処理するかのツクリを狙われてる感じで、いまのapacheを使うかぎり対処はなかなか厳しいのですが、最近人気のロシアのnginxだと大丈夫みたいということで、組み合わせをためしてみました。 nginx (えんじん・えっくす) はwebサーバのソフトウ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
bayashi.net
存在しない記事へアクセスしたときのステータスコード一覧
Slowloris をほっとけない ((((;゚Д゚)))ガクガクブルブル - poohSec