[APACHE DOCUMENTATION]

サーバ設定のためのセキュリティ情報

セキュリティ問題のいくつかのヒントと情報が、Webサーバの設定にあります。 いくつかの提案は一般的で、その他はApache独自のものです。

サーバサイドインクルード

サーバサイドインクルード (SSI) はユーザがサーバでプログラムを実行可能な ように構成を設定できます。 この考慮は、どんなシステム管理者も肝に銘じておく必要があります。

一つの解決方法は、SSIを無効にすることです。それをするためには IncludesNOEXECオプションをOptions 命令に加えます

スクリプトエイリアスを使わないCGI

ユーザにどこのディレクトリででもCGIを実行できるように許可する 際は次のような場合に考慮するべきです。もし;

  1. ユーザーが故意に攻撃する、あるいは偶然にシステムをあばくスクリプトを 書かないことを信用する。
  2. もう一つの可能性がある穴を空けることによって、他のエリアでセキュリティ が弱くなることを考慮する。
  3. ユーザがいない、まただれもサーバを利用したことがない。

スクリプトエイリアスを使ったCGI

特別なディレクトリにCGIの実行を許可することは、どんなスクリプトが そのディレクトリに入っているかを管理者がコントロールします。 これは当然スクリプトエイリアスを使わないCGIより安全です。 しかしディレクトリへの書き込み権限をもつユーザが信用できる時 または、管理者が全てのスクリプト/プログラムにセキュリティホールの可能性が 無いことをテストすることをいとわない場合です。

たいていのサイトがスクリプトエイリアスを使わないCGIよりもこのオプションを 選びます。

一般的なCGI

常にCGI スクリプト/プログラムあるいはプログラマが、故意であるか、 あるいは偶然であったか否かにかかわらず、 CGIによってセキュリティホール となる可能性を見つけてくれることを信用しなくてはならないことを覚え ていてください。

すべての CGI スクリプトは同じユーザーとして作動しますので、 それらは(偶然に、あるいは故意に)衝突しあう可能性があります。 例えば、ユーザAがユーザBを嫌い、ユーザBのCGIデータベースを消してしまう 等です。

その外のどんなセキュリティ情報でも送ってください。 apache-bugs@mail.apache.org

システムの広範囲な設定を優先させ、ユーザ設定を停める

Stopping users overriding system wide settings...

本当にタイトな運用をするためには、管理者が設定したセキュリティを 最優先して、ユーザが.htaccessファイルを設定することを 禁止したいでしょう。 これが、一つの方法です......

サーバ設定ファイルに追加します。

<Directory>
AllowOverride None
Options None
<Limit GET PUT POST>
allow from all
</Limit>
</Directory>
特定のディレクトリに設定する時

これは、全てのディレクトリへのアクセス設定の上書きを禁止します。

このJAPACHE!ニュースグループへ ( japache.Security ) | JAPACHE!ニュースについて | JAPACHE!ホームページへ

このページの情報に関わる、ご質問、お問い合わせは、 japache@infoscience.co.jpまで。

検索文字
The English original manual is here.

Index Home