Webサーバをセキュアに保つ設定のまとめ - Qiita
はじめに Webサーバをセキュアに保つ為、個人的に行っている設定をざっくりまとめてみました。 設定内容はApache 2.4での運用を想定していますので、他のHTTPdをお使いの方は適宜読み替えてください。 各設定項目は以下のオンラインテストサイトでA+相当を取ることを目指しています。 設定ファイル生成 Mozilla SSL Configuration Generator オンラインテスト Mozilla Observatory Qualys SSL Server Test 前提条件 以下で設定する項目は特にHTTPS接続や攻撃防止に関するものになります。 HTTPdそのものに関する基本設定については別記事をご参照ください。 SSLProtocol 危殆化した古いプロトコルを有効にしている場合、古いプロトコルを標的としたダウングレード攻撃等を受ける可能性がある為、新しいプロトコルのみを有
Webサーバー向けのベンチマークツールを使ってみよう(後編)――Apache Jmeterとwbench | さくらのナレッジ
今回はWebサーバーに対するある特定のパターンでのアクセスによって発生する負荷を調べたい、といった場合に有用な「Apache Jmeter」と、クライアントでのJavaScriptの実行時間までも含めたWebページのロード時間を測定できる「wbench」を紹介する。 グラフィカルにテストシーケンスを作成できる「Apache Jmeter」 記事前編ではWebサーバーの負荷テストを行える「Apache Bench」や「Siege」といったツールを紹介した。Apache Benchは手軽さが、またSiegeでは複数のURLを対象にテストを実行できる点が特徴だが、これ以外にもWebサーバーのテストに活用できるツールはいくつか存在する。今回紹介する「Apache Jmeter」もその1つだ(図1)。 図1 Apache Jmeterのメインウィンドウ Apache Jmeter(以下、Jmeter
httpd.confについて調べたのでまとめたよ - とある技術の備忘録
最近学科の友人3人とサーバ/セキュリティについての勉強会を週1で行っていて、毎回何か調べてくることになっており、今回は apache の設定について少し調べてきました。初心者がまとめたので間違っている部分があるかもしれませんが、勉強の役に立てて頂ければ幸いです。 httpd.confはどこにある? 最小限のhttpd.conf 3つのセクション セクション1: GlobalEnvironment セクション2: MainServerConfiguration セクション3: VirtualHosts モジュールの追加 外部設定ファイルの読込み サーバリソースの監視方法 httpd.confはどこにある? OSによって異なりますが、以下の階層に置いてある可能性が高いです。 CentOS、FedoraなどRed Hat系 /etc/httpd/conf/ SUSE系、MacOSX /etc/a
既存WEBサイトをIPv6対応にするには?を色々と調査:phpspot開発日誌
既存WEBサイトをIPv6対応にするには?を色々と調査してみました。 今年の後半にはIPv4アドレスが枯渇するということで, もっと先のことと思っていたらすぐそこに来てしまいましたね。 基本現行のサイトはIPv4ベースで動いていると思いますが、apache等上で当ブログのようにサーバ運用している場合に影響がないか心配な方も多いのではないだろうか、ということで調べてみました。 IPv6とは? まず、IPv6ってどういうものか?個人的に知識が曖昧な部分が多かったので改めて調べてみます。 IPv6 - Wikipedia はしょると、42億個が上限のIPv4を拡張して、約340澗(340兆の1兆倍の1兆倍)まで扱えるようにしたとあります。 これだけあれば枯渇とは無縁ですね。 IPv4 では「192.0.2.1」みたいなものだったのが、IPv6になると「2001:0db8:bd05:01d2:28
Apache チューニング Tips | Carpe Diem
先日、Web サーバ勉強会 #2 が開かれました。内容は、Apache のチューニングということで、参加したかったのですが、他の予定があって参加できませんでした。 そこで、僕が個人的に行っている Apache のチューニングを紹介したいと思います。最初、スライドで作成しようかと思ったのですが、ブログにまとめたほうがよさそうなのでブログにまとめていきます。 まず、大前提として Apache をチューニングするうえで、大事なことはその Apache が提供する Web サービスの種類のよって大きくチューニングする内容が異なるということです。例えば、動画・写真共有サービスと株価情報のサービスを比較すると、当然のことながら大きくサービスの内容が異なりますし、HTTP レベルでみるとクライアントからのリクエスト数、データサイズ、などがかなり違ってきます。 ですので、まずは自分が扱っているウェブサービ
Apacheセキュリティ設定 | うみうし.dip.jp
何度も書くことでもないのですが個人的な備忘録です。責任はもてませんので・・・。 ServerTokensの設定 よくページが見つからないときに下記のような表示がされますが、ApacheのバージョンからOSまでわざわざ表示しなくても良いのにと思うところです。 Not Found The requested URL xxx was not found on this server. Apache/2.0.52 (CentOS) Server at umiushi.dip.jp Port 80 毎回、Apacheをアップデートしていけば良いのでしょうが、そうも行かないときもあるので、取り合えずこの表示を消します。 これでページが見つからない場合のエラーに余計な情報が表示されないようになりました。 # ApacheのDaemonは再起動する必要があります。 Not Found The req
メンテナンス中画面を出す正しい作法と.htaccessの書き方 | Web担当者Forum
今回は、Webサイトやサービスをメンテナンス中にする場合に、どのURLにアクセスしても「メインテナンス中です」の画面を出す正しいやり方を、人間にも検索エンジンにも適切にする作法を主眼に解説します。 この週末の土曜深夜~日曜早朝にかけて、データセンターの設備メインテナンスのため、Web担を含むインプレスグループのほとんどのWebサイトが、どのURLにアクセスしても「メンテ中です」という表示になっていました。 なのですが、その実装がちょっと気になったので、「正しいメンテナンス画面の出し方」を説明してみます。 ※2010-01-16 Retry-Afterを指定するHeaderの指定を修正しました(コメント参照) ※2009-06-17 RewriteCondから [NC] 条件を削除しました(コメント参照) ※2009-06-16 Retry-Afterの記述をGMTに変更しました(コメント参
Apache(Linux)に、Windowsドメイン認証を利用して、シングルサインオンを実現する詳細手順 - 元RX-7乗りの適当な日々
Linuxで稼動させているApacheにて認証が必要なWebサービスに、Windowsドメイン(Active Directory)の認証情報を使って、シングルサインオンを実現させるまでの手順を備忘録として残しておきます。 今回、ブラウザは、IEとFirefoxにて動作確認を行いました。 Windowsドメインログオンをしているクライアントから、上記2種類のブラウザを使うと、NTLM認証※を利用しているWebサービスには、認証済みのドメインログオンの情報を利用することができ、ユーザ名やパスワードを入力する必要の無いシングルサインオン環境が実現できます。 ※NTLM認証(NT LAN Manager authentication)とは - IT用語辞典 e-Words 前提 今回利用した構成は以下のような感じ。 Webサーバ CentOS 5 Apache 2.2 + mod_auth_ntl
Apacheの安全を確保するための10の対策 - builder by ZDNet Japan
あなたは自分の会社のウェブサイトをサービスするApacheをインストールしたところだとしよう。Apacheはスムーズに動作しており、万が一の場合にもLinuxのセーフティネットが助けになるはずだと思う。ところが、2週間ほど経ったところで、いろいろとおかしなことが起こり始める。なぜだろう。ApacheとLinuxを使っているのに・・・おかしくなることなどあるだろうか? もちろん、注意を払わなければ、おかしくなることはいくらでもあり得る。Apacheを安全にする方法はあるが、もちろん何もしなければ安全にはならない。以下に示すのは、Apacheをより安全なウェブサーバにするための簡単な10の方法だ。 #1: とにかくアップデート LinuxでApacheを動かしているからと言って、アップデートが不要だということにはならない。常に新しいセキュリティホールやリスクが登場している。あなたは、最新のパッ
DSAS開発者の部屋:ケータイやクローラの判別などに使えるmod_cidr_lookupを公開しました
mod_cidr_lookupというApacheモジュールを公開しました。 http://lab.klab.org/wiki/Mod_cidr_lookup mod_cidr_lookupは、アクセスしてきたクライアントのIPアドレスが、指定したCIDRブロック群のいずれかにマッチするかどうかを判別するApacheモジュールです。 Apache 2.0と2.2系に対応しています。 マッチした結果は、環境変数 (X_CLIENT_TYPE) とHTTPリクエストヘッダ (X-Client-Type) にセットするので、Apache自身とバックエンドのWebアプリの両方で同じ情報を参照することができます。 このモジュールを使うメリット 簡単にクライアントの種類を知ることができる 判別処理はモジュールが行ってくれるので、のちほどお見せるように、Webアプリやhttpd.confでは環境変数やリク
.htaccessで使える16の技:phpspot開発日誌
16 Useful .htaccess Tricks and Hacks For Web Developers : Online Marketing Blog - Website Development & Website Marketing tips and Strategies .htaccessで使える16の技が色々と紹介されていました。 1. ErrorDocumentでエラーページ指定の方法 ErrorDocument 401 /error/401.php ErrorDocument 403 /error/403.php ErrorDocument 404 /error/404.php ErrorDocument 500 /error/500.php 2. Timezone設定 SetEnv TZ America/Houston 3. IPブロッキング allow from al
Pound の SSL セキュリティレベルを制限(上げる)方法
最近、会社のセキュリティーレベルを上げるべくいろいろな活動がされています。で、最近きたお達しが、Web サーバの SSL の暗号レベルの強化。具体的に言うと、今となっては時代遅れな SSLv2 を許可せず、SSLv3 にすると言うもの。そして、暗号強度の弱い暗号化を許可しないという2点です。 普段、SSL のレベルなんて気にしてネットをやっている方は数少ないと思いますが、IE や FireFox のオプションで指定可能です。例えば、IE だとこんなかんじです。 通常、SSLv2 にチェックがついていると思います。ここで、SSLv2 のチェックを外せば、より暗号強度の強い暗号方式をサーバ側に要求して SSL 通信をすることができます。 クライアント側の設定はこれで完了ですが、サーバ側も当然ながら設定が必要です。 デフォルトの設定(何も設定しない場合)で許可される暗号方式 通常の場合、サーバに
YUMEMI Labs [ゆめみラボ]
ゆめみラボゆめみる大人が、職人魂と遊びゴコロを発揮してつくったワクワクツールを展示する遊び場です。 開発したβ版もお試しいただけます。
ウノウラボ Unoh Labs: 5分でできるウェブサーバのセキュリティ向上施策
こんにちは、naoya です。 先日、ウノウが公開しているサービスの中にいくつかの脆弱性が見つかったため、社内で「脆弱性発見大会」を開催しました。この大会は、二人一チームに分かれてウノウが公開している各サービスの脆弱性を見つけることを目的とした大会です。結果は、いくつか各サービスに脆弱性が見つかり、すぐに修正することができました。 僕のチームは、ウノウのホームページやラボブログなど細かいサービスを担当しました。その中で、いくつかのウェブサーバにセキュリティ上あまい設定がありました。 今日は、ウェブサーバのセキュリティ向上のための設定方法についてエントリします。なお、ウェブサーバはApache 2.2系を前提としています。 サーバ情報の表示しない ウェブサーバ(Apache)で、404などのエラーページを表示したとき、ヘッダやページの下にApacheやOSのバージョンが表示されます。こういっ
Catalyst - 簡単なアプリケーションの開発 : tutorialog
Catalyst - 簡単なアプリケーションの開発 April 30, 2006 Posted by butcher in : Perl , trackback PerlのMVCフレームワークCatalystについて紹介します。 Catalystについてはこちらを参照ください。 今回は、インストールから、簡単なDBアプリケーションの開発、mod_perl上での実行の手順を紹介します。 開発環境は、FedoraCore4, perl v5.8.6, Apache 2.0.55, mod_perl 2.0.2, mysq l 4.1.18 です。 まずはインストール。 インストールは非常に簡単で、”Task::Catalyst”モジュールを入れるだけです。(依存関係のある他のモジュールもインストールされます。) $ perl -MCPAN -e 'install Task::Cat
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.2ch-search.net/blog/7
新卒インフラエンジニア2年目
IDEA * IDEA
.htaccessに関する覚え書き | IDEA*IDEA
Apacheチューニング,MySQLチューニングなどWebサイト高速化(tuning) Tips| インターオフィス
