Apache で https のプロトコルを TLS1.2 のみに制限する - Qiita
$ httpd -v Server version: Apache/2.4.6 (CentOS) Server built: Aug 24 2015 18:11:25
Apache での TLS1.0 と TLS1.1 の無効化と確認方法メモ
Yahoo! Japan が、2018年6月1日から TLS1.0 と TLS1.1 のサポートを順次終了して TLS1.2 のみのサポートに切り替えています。ここ数年、各社ウェブサービスでも TLS1.0 と TLS1.1 を無効化する動きもあり、今後 SSL/TLS のプロトコルは TLS1.2 以上に設定することが標準になるでしょう。そこで今回は、Apache httpd サーバーで TLS1.0 と TLS1.1 を無効にし、設定を確認する方法をメモしておきました。 参考資料:Yahoo!セキュリティセンター TLS1.0 と TLS1.1 を無効化する理由無効化する理由は、TLS1.0 と TLS1.1(実装にもよる)に POODLE(プードル)という暗号化通信を解読されてしまう脆弱性があるためです。 POODLE が発見された当初は、SSL3.0 のみがこの脆弱性の対象と思われ
安全なWebサイトの構築方法(SSL編) ~Qualys SSL LABSでA評価を目指して~
年末をいかがお過ごしですか?おはこんばんちは、インフラチームのfujyaです。昨年の年末は色々とあって休みがほとんどありませんでしたが、今年はのんびり年末を過ごしています。2015年を振り返ってみるとOpenSSL周りの脆弱性や証明書のsha1からsha2への切り替えなど、SSL全般に関しての対応が多かったような気がします。 シャノンでは、通信の秘密を守るために日夜SSL関連のチューニングを怠らなようにしてます。 チューニングの結果を外部診断して確認する手段としてQualys SSL LABSの「SSL Server Test」を活用しています。SSLサイトチェックの定番です(よね?)。ここでA評価をもらう事が一つの安全の指標といえるのではないでしょうか。 シャノンのサービスではもちろんA評価です。皆様に安心にご利用して頂くため、日々セキュリティアップデートがあれば対応を続け、A評価を保ち
SSLCipherSuite を変更し perfect forward secrecy にも対応してみる - さくらVPS CentOS 6.5 - IMPOV::In My Point Of View
SSLサーバー証明書を購入し設置を行ったので、この機会にSSLまわりの設定を見なおしてみることにした。 (2014/10/21追記:POODLE attack に対応するため、SSLProtocol に -SSLv3 を追加。) (2016/03/03追記:古い記事なので今風のCipherSuiteについて、文末に追記しました。) 現状の確認 まずはQualys SSL Labs SSL Server Testというサイトへ行って、現状をチェック。 最近チェックされたドメインリストに名前が出てしまうので、ドメイン名入力欄の下にあるチェックボックスをオンにしてリスト掲載を拒否する。 数分待つと結果が表示される。 Beast攻撃がどうだとか、暗号強度が低いだとか、いろいろと指摘されてしまう。 また、ページの下の方へ行くと、メジャーなブラウザとの接続確認も可能だ。 設定の変更 SSLまわりの知識
ApacheのSSL設定を考えた | TECHSCORE BLOG | TECHSCORE BLOG
こんにちは!インフラエンジニアの射場です。 趣味やお仕事でWebサイトを運用されている方はいらっしゃいますか? そのWebサイトはSSL証明書を使っていますか? SSL証明書を使っていると答えたアナタ! 下記のリンクにあなたの管理するWebサイトのURLを ぺっちょりと貼り付け、スキャンを実行してみてください。 https://sslcheck.globalsign.com/ja/ いかがでしたか? ランクはAでしたか?Bでしたか?それともEやF? ちなみに、私もほそぼそとWebサイトを運用しており、つい先日SSL証明書を入れました。 忙しさを言い訳に、初期設定のまま放置していました。 そんなだらしない私のWebサイトの評価はご覧のとおり。 ※恥ずかしいのでURLは伏せています/// これはあかん ということで、いっちょ本気を出してみましたので、その設定内容を晒したいと思います! Webサ
SSL 3.0 を無効に設定する方法(POODLE対応) apache+mod_ssl, nginx - Qiita
SSL 3.0の脆弱性 CVE-2014-3566 aka POODLE の対応でSSL v3を無効にする必要あり http://www.itmedia.co.jp/news/articles/1410/15/news054.html http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/ https://www.openssl.org/~bodo/ssl-poodle.pdf Apache httpd + mod_sslなら http://httpd.apache.org/docs/2.2/mod
muninのapache関連のデータ取得で忘れがちな点 « DASALOG -ださろぐ
メモエントリーです。 シンボリックリンクを追加 ln -s /usr/share/munin/plugins/apache_accesses /etc/munin/plugins/apache_accesses ln -s /usr/share/munin/plugins/apache_processes /etc/munin/plugins/apache_processes ln -s /usr/share/munin/plugins/apache_volume /etc/munin/plugins/apache_volume httpd.confに以下を追加(これよく忘れる・・) ExtendedStatus On locationで設定出来ないケースもあるのでバーチャルホストで定義してしまう #status <VirtualHost *:80> ServerName 127.0.0.
Apache2.2のパフォーマンスチューニング(その1) | ITインフラ技術の実験室
はじめに Apache2.2の基本設定、バーチャルホスト設定、ログ設定等はApache2.2の設定にまとめていますので参照してみて下さい。 また、MaxclientsについてはApache2.2のパフォーマンスチューニング(その2)にまとめています。 使用しているMPMと設定の確認 Apacheで代表的なMPM(Multi Processing Module)としては以下の二つがあります。 マルチスレッドであるworkerの方が、スレッドがメモリ空間を共有していたり、スレッド切り替え時にメモリ共有しているため切り替えのためのコストが少ない等などの理由によりお勧めのようですが、本サイトのように大量のアクセスがあるわけではない環境ではどちらを採用してもあまりかわらなそうです(ちなみにマルチプロセス、マルチスレッドの比較についてはLinuxネットワークプログラミング(シングルプロセス、シングルス
Apache2.2のパフォーマンスチューニング(その2)
はじめに Apache2.2の基本設定、バーチャルホスト設定、ログ設定等はApache2.2の設定にまとめていますので参照してみて下さい。 Apache MPM preforkのMaxclients以外のパラメータ(StartServers、MinSpareServers、MaxSpareServers、MaxRequestsPerChild)についてはApache2.2のパフォーマンスチューニング(その1)にまとめていますので参照してみて下さい。 本記事について いまさらながらサーバ/インフラを支える技術に載っていたApache2のチューニングをしてみることにしました(ここに書いてあることは間違いだらけかもしれません…がご了承下さい)。 チューニングをする意味があるほどのアクセスは当サイトにはありませんが、マシンリソースを使い切るほどの攻撃を受けないとも限りませんので、本記事ではMaxC
mod_rewrite - QSAフラグ - とみぞーノート
リファレンスを読んでもいまいちピンと来ないmod_rewriteのRewriteRuleディレクティブのQSAフラグに関するメモ。 1. リファレンス原文'qsappend|QSA' (query string append) This flag forces the rewriting engine to append a query string part in the substitution string to the existing one instead of replacing it. Use this when you want to add more data to the query string via a rewrite rule. このフラグは、置換文字列の中にあるクエリ文字列部分を置き換えるのではなく、追加させる。これは、rewriteルールを通してクエリ文字
今こそ見直すApacheの設定 - blog.nomadscafe.jp
nginxやvarnishなどがアツいですが、Apacheもまだまだ実績や安定性から採用されていると思います。ここではデフォルトとは異なる値に変更するサーバ設定を中心に、パフォーマンス改善、安全性向上のためのApacheの設定を紹介します。 mpmの確認 > /path/to/bin/httpd -V Server version: Apache/2.2.19 (Unix) Server built: Jun 23 2011 17:13:13 Server's Module Magic Number: 20051115:28 Server loaded: APR 1.4.5, APR-Util 1.3.12 Compiled using: APR 1.4.5, APR-Util 1.3.12 Architecture: 64-bit Server MPM: Worker PreforkやW
X-Content-Type-Options: nosniffのつけ方 | へぼい日記
Apache mod_headersでできます Header set X-Content-Type-Options nosniff Nginx add_header X-Content-Type-Options nosniff; 但し、上記だとproxyなんかで既にX-Content-Type-Options: nosniff;が付いていると X-Content-Type-Options: nosniff, nosniff のようなヘッダになってしまう。問題ないかもしれないが気になる場合はNginxHttpHeadersMoreModuleを使って more_set_headers 'X-Content-Type-Options: nosniff'; とすると良いのかも。 Plack Plack::Middleware::Headerを使うと簡単です。 enable 'Header', s
X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記
2011-01-06: IE8ということを追記 & ちょっと間違いを修正。あけましておめでとうございます。 年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してしまい、クロスサイトスクリプティングが発生することが昔からたびたび報告されていました*1。現在は幾分マシになったとはいえ、IEのファイルタイプの判定アルゴリズムは非常に難解であり、現在でも状況によってはWebサイト運営者のまったく意図していないかたちでのXSSが発生する可能性があったりします。そういうわけで、IEがコンテンツを sniff してHTML以外のものをHTML扱いしてしまうことを防ぐために、動的にコンテンツを生成している場合に
サイトを公開する際に最低限抑えておきたい Apache の設定 | バシャログ。
こんにちは nakamura です。最近トルシエさんテレビ出すぎじゃありません?ウィイレヤロウヨ。オフサイドダヨ! さてさて今回は意外と知られてないけど、サイトをインターネットに公開する際には知っておいた方が良い Apache の設定をいくつかご紹介します(一部 PHP の設定もありますが)。この設定をしていないからといって即危険にさらされるという訳でもありませんが、リスクの芽は摘んでおくに越した事はありませんよね。 無駄な HTTP ヘッダを返さない ディストリビューションにより異なるかもしれませんが、CentOS デフォルトの設定の場合 Apache が返してくる HTTP ヘッダは以下のようなものです。 HTTP/1.1 200 OK Date: Mon, 05 Jul 2010 01:01:14 GMT Server: Apache/2.2.3 (CentOS) X-Powered
もっとApacheを知ろう いまさら聞けない!? Web系開発者のためのサーバ知識 第2回 - @IT
もっとApacheを知ろう:いまさら聞けない!? Web系開発者のためのサーバ知識(2)(1/3 ページ) 自動起動の設定 第1回「Webサーバから始めよう」で手順を追って設置した/etc/rc.d/init.d/httpdというApacheの制御スクリプトは、システム起動時におけるApacheの自動起動に利用できます。 今回は、Linuxのシステム起動時に各種のサーバプログラムを自動的に起動させる方法を、Apacheを例に紹介しておきましょう。 まず、/etc/rc.d/init.d/配下に、サーバ制御スクリプトを設置します。制御スクリプトの内容はサーバプログラムにより異なりますが、多くのパッケージではインストール時に自動で設置されるか、またはサンプルが提供されます。今回の例では、すでに紹介した手順で/etc/rc.d/init.d/httpdを設置済みです。 次に、/etc/rc.d/
Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan
Apacheのバージョン2.2.12以降では、SNI(Server Name Indication)という、SSLプロトコルに対する拡張機能がサポートされているため、名前ベースのHTTPサイトを設定する場合と同じように名前ベースのHTTPSサイトを設定することが可能になっている。本記事では、Apacheのこの機能について紹介する。 Apache Webサーバがバージョンアップし、成熟していくに伴い、新機能の追加やバグの修正が行われてきている。そして、バージョン2.2.12で追加された機能のうち、最も重要なものはおそらく、単一IPアドレス上で複数のSSLサイトを運用できるようにするという、長らく持ち望まれていた機能だろう。 これまでは、特定のIPアドレスに対してSSL対応のWebサイトを割り当てた場合、そのサイト1つしかSSL対応のWebサイトを運用することができなかった。つまり、IPアドレ
mod_xsend_file で画像配信サーバーの負荷軽減 : 管理人@Yoski
合宿で青い人に mod_xsendfile を教えてもらって「あわせて読みたい」に入れてみたら結構いい感じなのでメモ。 ■mod_xsendfile とは PHPなどのスクリプトから静的なファイル(画像ファイルなど)を送信するときに使う便利な apache モジュール。 ■仕組み header("X-Sendfile: (画像ファイルパス)"); と出力すれば、X SendFile がローカルから画像ファイルを引っ張ってきて、Last-Modified などのヘッダ情報をつけて後の処理をしてくれる。 つまり、スクリプトを使っていながら簡単に静的なファイルを送信しているように見せることができる。 (※セキュリティ設定に関係なく、任意のパスを指定できるところがミソ) ■「あわせて読みたい」では これまで、Location: ヘッダをつかってリダイレクトして画像を表示させていた。 この方式の欠点
Apacheの安全を確保するための10の対策 - builder by ZDNet Japan
あなたは自分の会社のウェブサイトをサービスするApacheをインストールしたところだとしよう。Apacheはスムーズに動作しており、万が一の場合にもLinuxのセーフティネットが助けになるはずだと思う。ところが、2週間ほど経ったところで、いろいろとおかしなことが起こり始める。なぜだろう。ApacheとLinuxを使っているのに・・・おかしくなることなどあるだろうか? もちろん、注意を払わなければ、おかしくなることはいくらでもあり得る。Apacheを安全にする方法はあるが、もちろん何もしなければ安全にはならない。以下に示すのは、Apacheをより安全なウェブサーバにするための簡単な10の方法だ。 #1: とにかくアップデート LinuxでApacheを動かしているからと言って、アップデートが不要だということにはならない。常に新しいセキュリティホールやリスクが登場している。あなたは、最新のパッ
IE6とDigest認証でエラー発生
Apache で Digest 認証の設定という記事を書きましたが、Internet Explorer 6 で hoge.cgi?foo=bar のような URI にアクセスすると 400 Bad Request が発生してしまうことが分かりました。 Apache のエラーログには次のように表示されています。 Digest: uri mismatch - <hoge.cgi> does not match request-uri <hoge.cgi?foo=bar> Mozilla など他のブラウザでは問題ないので、IE6 の不具合のようです。 apache の認証を暗号化#不具合によると、Apache の mod_auth_digest.c にパッチを当てることで回避できるようです。 本来は IE6 が対応すべきだと思いますが、仕方ないのでパッチを当てて、RPM パッケージを構築しました
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[Apache2.4] yum経由でApache2.4 をインストールしてPHP5.6を動かすまで - Qiita![[Apache2.4] yum経由でApache2.4 をインストールしてPHP5.6を動かすまで - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/77f8eec238a5eb4ae00109f0c42a772dc5b20610/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCQXBhY2hlMi40JTVEJTIweXVtJUU3JUI1JThDJUU3JTk0JUIxJUUzJTgxJUE3QXBhY2hlMi40JTIwJUUzJTgyJTkyJUUzJTgyJUE0JUUzJTgzJUIzJUUzJTgyJUI5JUUzJTgzJTg4JUUzJTgzJUJDJUUzJTgzJUFCJUUzJTgxJTk3JUUzJTgxJUE2UEhQNS42JUUzJTgyJTkyJUU1JThCJTk1JUUzJTgxJThCJUUzJTgxJTk5JUUzJTgxJUJFJUUzJTgxJUE3JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmcz1lZDdjYTIzOGVjODc3MzA0ZmM4MWFkNTMzMmEzNDY3Zg%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBwYl90bXowOCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9YWM1MTQ3MDJlYzM2Zjk2YjUzZmI3NGIwOWE4MDcxYzA%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3Dd9b9a885144d8f41e6d9f7451d74fe0f)
