最近のapacheのセキュアな設定方法(2015年2月版)

久しぶりにapacheの設定をしていて、そういやPOODLEもあったし、今新規でapache設定するにはどんな設定がいいか整理してみた。ただ基本的にはPOODLE対策を追加しただけ。

お決まりですが、この設定をしたからって必ずセキュアはわけではありません。基本的にバージョン隠蔽などの攻撃者に提供する情報を減らすことがメインです。アップデートは速やかに実施しましょう。

環境はCentOS 7でやってますが、Red Hatは同じ設定で行けますし、他のディストリ(debian,ubuntu,etc.)でも設定ファイルの場所が違うくらいでやることは一緒です。

続きを読む 最近のapacheのセキュアな設定方法(2015年2月版)

apacheのログを後からホスト名変換(python編)

前に、同じ記事を書いたが、なんかubuntuをアップグレードした影響なのか、ちょっと挙動が変わった。

前は、標準入力に渡してあげると、順次変換が実行されていたのだが、今は、まとめて結果が表示される。

多少遅くても、実行時眺めていたかったので、それならpythonで作ればいいやんと思ってとてつもなくと汚く書いた。汚い!!!

ファイル名を渡すか、標準入力で渡すかのみです。

オリジナルも同じだが、逆引き出来ない時の、タイムアウト時間がちょっと長くて
こっちでは短くしたかったのだが、結局面倒で(実力が無くて)やめた。

(続)ubuntu server 12.04 LTSを14.04 LTSにアップグレード

前にちょっと記事にしたが、その続編ぽいもの。

前回のサーバは、DNSくらいしか動いてなくて、特に問題なかったのだが、

今回はLAMP環境を移行した。はまりまくり。

メモってないので、記憶をたどると、ハマりどころとしては。

debian系のsites-enabledの設定ファイルが変わった。

debian系では、/etc/apache2/sites-enabled/以下に各サイトの設定を書いて

そのサイトを有効にするには、a2ensiteコマンドを実行すると、/etc/apache2/sites-available/以下に

シンボリックリンクが作られて有効になるといった感じの動作。

まー。この動作自体は、よく考えられていて良いとは思っている。

この設定ファイルだが、前は、どんなファイル名でも良かったのだが、

14.04からは、*.confと拡張子が付いてないと、読み込まれなくなった。

なので軒並み修正。

 

apache 2.4からアクセス制御の書き方が変わった。

ubuntuというか、apacheの変更だが、古くからのapacheのアクセス制御は、

以下のような感じ

 

 

が、2.4からはこんな感じになる。

 

 

 

と、こんな感じになった。まー。シンプルで良い気もするが、軽い気持ちでバージョンアップすると痛い目にあう。

過去の表記を有効にするモジュールもあるようなのだが、
少なくとも自分で追加したサイト側には有効になっておらず
全部手動で、2.4系の書き方に変更する必要があった。

2.4系の細かいアクセス制御設定は、他のサイト等を参考にしていただければと思います。
(自分もよく分かってない。)

全部許可なら

 

 

 

とからしい。

apacheのログを後からホスト名変換

当然最近のapache設定だと、

としていて、ログの逆引きは停止していると思う。

ふと生のログを見ていて、どの辺から来てるのかなと知りたいときがある。

そんな時は、logresolveコマンドを使えばよろしくやってくれる。

標準入力に渡してあげるだけ。

実際に逆引きを行うので、tailとかで渡すデータを少なめにしてあげたほうがよい。

因みにubuntuでは、apache2-utils っていうパッケージに入ってます。