IPアドレスでのアクセスブロックはDocumentRootを/tmp？ | ozumaの日記

ozumaの日記： IPアドレスでのアクセスブロックはDocumentRootを/tmp？ 8

日記 by ozuma 2014年12月23日 1時39分

またもや久々の日記更新だ。

Apache HTTP Serverで、「FQDNではなくIPアドレスでアクセスされた際(つまりHostヘッダがIPアドレスの場合)には、403 Forbiddenを返したいなぁ」というのは時折ある。まぁIPアドレス直で来るようなやつは、だいたい悪いやつらのスキャンだからね……。
で、普通はVirtualHostのanyの方でDenyしておけば良いよね。

<VirtualHost *:80>
ServerName any
<Location />
Order Allow,Deny
Deny from all
</Location>
</VirtualHost>
<VirtualHost *:80>
ServerName hogehoge.example.com
...
...
</VirtualHost>

しかしちょっとググってみると、次のようなびっくり仰天の設定例があちこちで紹介されていることに気がついた。

<VirtualHost *:80>
ServerName any
DocumentRoot /tmp
</VirtualHost>

「IPアドレス直でのアクセスをブロックするには、このようにDocumentRootを/tmpにしましょう」というのがあっちこちのブログで拡散されているのだ。マジです。
https://www.google.co.jp/search?q=%22DocumentRoot+%2Ftmp%22&hl=ja

いったいどこの誰がこんな設定を広めたんだろ? まさに、悪貨は良貨を駆逐するなぁ。

確かに/tmpはフツーのApacheの設定ならば403 Forbiddenになるけど、そういう問題じゃないだろと。
ちょっとびっくりした年の瀬でした。おしまい

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索8コメント Log In/Create an Account

Python for Unix and Linux System Administrationかな? (スコア:1)

by shibuya (17159) on 2014年12月23日 1時57分 (#2732522) 日記

日記本文の検索結果の一つにあるOra本がそういう記述ですね。
同じく検索結果の一つSecuringPHP - Httpd Wikiではそこまで踏み込んでいないし。
以上日本語でないドキュメント由来なのではないかと推理。
- Re:Python for Unix and Linux System Administration (スコア:1)
  
  by minet (45149) on 2014年12月23日 7時36分 (#2732566) 日記
  
  現時点でもうこの日記が順位2位なのな。
  これでカウンター効果もあるかな？
  恐るべし/.J
  
  シェア
  
  親コメント
それも仰天だけどさ (スコア:0)

by Anonymous Coward on 2014年12月23日 5時05分 (#2732548)

イマドキ
<Location /> Order Allow,Deny Deny from all </Location>

この設定例はどうなのよ？
そこは
<Location /> Require all denied </Location>

なんじゃないの？
あえてその古臭いやり方を使いたい時でも
<Location /> <IfModule access_compat_module> Order Allow,Deny Deny from all </IfModule> </Location>

とでも書いて、ガードは入れとくべきなんじゃないのかな。
特定の環境を前提に設定例書くのはどうかと思うで。
# つーかApache君はがっつきすぎ。
# リソースあったらあった分だけ一気に食い尽して、あっという間に応答できなくなる癖直して。
# Apache module君と一緒に仕事やらせてると、それが得に顕著だよ。
# おまえさん達を綺麗に負荷分散させてやるだけで一苦労だし、むしろそっちがメインの仕事みたいになっちゃう。
# ベンチだと似たり寄ったりの値なのに、そこらへんの苦労が段違いだからと皆がlighttpdやnginxに逃げてゆくのもわかる。
- Re:それも仰天だけどさ (スコア:1)
  
  by qwerty (20776) on 2014年12月23日 5時14分 (#2732549) 日記
  
  IfModule はむしろ入れない方が良いと思う。
  特にアクセス制限なんかは、解除されると困る。エラーで落ちたほうがマシ。
  > # リソースあったらあった分だけ一気に食い尽して、あっという間に応答できなくなる癖直して。
  ん～ php 位しか追加で入れてませんが、最近はその傾向は無いと思うけど。。。
  /proc/meminfo の Committed_AS がどんどん増えていきます？
  リソースを食いつぶしてるのって Linux kernel ではなく？
  
  --
  [Q][W][E][R][T][Y]
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    > 特にアクセス制限なんかは、解除されると困る。エラーで落ちたほうがマシ。
    そりゃそうだけどそれはたまたまこの場合はうまく行っているだけで、何も考えずググった結果をコピペするような奴は疑いもなく<Limit GET> [ya.maya.st]とかでくくってアクセス制限がうまく行ったと信じこんだりするだろ。
    - Re:それも仰天だけどさ (スコア:1)
      
      by qwerty (20776) on 2014年12月23日 18時53分 (#2732907) 日記
      
      すいません、ちょっと主張がわかりませんでした。
      IfModule があれば不特定の環境に適用可能なので初心者にコピペされても問題が少ないってこと？
      
      --
      [Q][W][E][R][T][Y]
      
      シェア
      
      親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        ググってコピペすんなマニュアル嫁 [ya.maya.st]ってこと。
        
        Re:それも仰天だけどさ (スコア:1)
        
        by qwerty (20776) on 2014年12月23日 20時21分 (#2732971) 日記
        
        まぁ、もともと IfModule への私の反応が重箱であったのはわかりますが、
        話の流れにあった回答をよろしくお願いします。
        
        --
        [Q][W][E][R][T][Y]
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ozumaの日記： IPアドレスでのアクセスブロックはDocumentRootを/tmp？ 8

IPアドレスでのアクセスブロックはDocumentRootを/tmp？ More ログイン

Python for Unix and Linux System Administrationかな? (スコア:1)

Re:Python for Unix and Linux System Administration (スコア:1)

それも仰天だけどさ (スコア:0)

Re:それも仰天だけどさ (スコア:1)

Re: (スコア:0)

Re:それも仰天だけどさ (スコア:1)

Re: (スコア:0)

Re:それも仰天だけどさ (スコア:1)

スラド