Apache

Basic認証よりセキュアなDigest認証を使う方法

NO IMAGE

よく.htaccessで、認証制限をかけたいページにこんなの書いてますよね。 然し、Basic認証って実は入力したユーザ名とパスワードを平文で送信してしまうのです。 つまり、通信パケットを監視されていれば、認証に必要な入力情報をカンタンに拾えてしまうという事。 そこで、認証情報をMD5暗号化して送信するDigest認証。 詳しい仕組みは下記を参照のこと。 ja.wikipedia.org  3 usersDigest認証 - Wikipediahttps://ja.wikipedia.org/wiki/Digest%E8%AA%8D%E8%A8%BC 自分でApacheのコンフィグを操作できる場合、下記コンフィグが読み込まれているか確認しましょう。 レンタルサーバの場合は対応がまちまちなので、各々お問い合わせください。 パスワードの作成は「htpasswd」コマンドの代 […]

ApacheをDoS攻撃(田代砲)から守るための対策モジュール「mod_evasive」

NO IMAGE

Apache1.3~2.xでDoS対策をするためのモジュール「mod_evasive」。 バージョンによりインストール方法が違うので、ファイル同梱のREADMEを参照されたし。 Linux(ここではRedHat系ディストリ)+Apache 2.x系での導入方法は以下の通り。 ※その前に、http-develをインストールしておくこと。 1.インストール ・epelレポジトリからインストールする場合 ・ソースからコンパイルする場合 ※ Windows版のDLLライブラリは現在行方不明です(´・ω・`) 2.Apacheのコンフィグにモジュールを追加する 3.コンフィグ作成 ※コンフィグ内訳: 以上の設定例では、同一のユーザから 同一ページへ3回以上/1秒のアクセス、またはサイトへ50回以上/5秒のアクセスがあった場合に、30秒間アクセスを弾きます。 その際ユーザへ送られるHTTPリクエストは […]

CentOS6.5で、Apache2.2.26のソースコードをrpmにリビルドしてアップデートしたときのお話

Linux

サーバエンジニアの友達「Apache2.2.15使ってんすか」 十円玉「centosplusレポジトリからね( ´-`)y-~~」 サーバエンジニアの友達(以下Pさん)「それ、穴だらけっすよ。リクエストの空受けしたりしますよ。2.2系なら2.2.25出てますけどそれもまだ・・・。」 十円玉「今2.2.26出てんのか( ´-`)y-~~」 久しくターボールをパッケージビルドしていなくて色々忘れている十円玉「aprのバージョンで弾かれた(´・ω・`)」 aprをビルドするも下手こく十円玉「・・・ッッッ(`゚д゚´)」 Pさん「今『su -』でrootになってるんですよね?そしたらビルド環境こうしたらどうすか( ´-`)つ」 Pさん「Linuxには、変数やディレクトリの予約語があるので注意してくださいね」   Pさん「aprとapr-utilsのターボールをさっきのSOURCESディレ […]