アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
SunのCobalt (スコア:0)
大量被害の予感…
Re:SunのCobalt (スコア:0)
CobaltのFTPは何処? (スコア:0)
README に書かれている experimental ディレクトリが消えている…
Re:CobaltのFTPは何処? (スコア:1)
かと言って、RPMパッケージを自分で
Re:CobaltのFTPは何処? (スコア:1)
目的:
・本設定のために追加機材を使用しない。
・既存の Apache の設定は一切変更しない。
・作業に手間をかけない。
方針:
・外部からの 80/TCP への接続は 3128/TCP (Squid) にリダイレクト。
・3128/TCP で稼動する Squid を httpd-accelerator mode で動かす。
機材:
Cobalt RaQ3
インストールするパッケージ:
squid-2.4.STABLE3-1.6.2.i386.rpm
openldap-1.2.12-3.i386.rpm
* RedHat Linux 6.2 update から get する。
squid の設定:
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
redirect_rewrites_host_header off
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow all
icp_access allow all
httpd_accel_host virtual
httpd_accel_uses_host_header on
ipchainsによるリダイレクトの設定:
ipchains -A input -s [IP addess for itself]/255.255.255.255 -d [IP addess for itself]/255.255.255.255 80:80 -p 6 -j ACCEPT -l
ipchains -A input -s [IP addess for itself]/255.255.255.255 -d 127.0.0.1/255.255.255.255 80:80 -p 6 -j ACCEPT -l
ipchains -A input -s 127.0.0.1/255.255.255.255 -d 127.0.0.1/255.255.255.255 80:80 -p 6 -j ACCEPT -l
ipchains -A input -s 0.0.0.0/0.0.0.0 -d [IP addess for itself]/255.255.255.255 80:80 -p 6 -j REDIRECT 3128
ipchains -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 3128:3128 -p 6 -j REJECT -l
*最初の3行は、ホスト自身から80/TCPへのアクセスを許可する設定。
4行目は他ホストからの80/TCPを3128/TCPで処理させる設定。
5行目は他ホストからの3128/TCPへの直接接続を禁止する設定。
動作確認:
/var/log/squid/access.log, /var/log/httpd/access を見て
意図した動作であるかどうかを確認する。
正しく動いていないときは ipchains -F 。
不正なチャンク形式エンコードに対する脆弱性の解消確認:
Packet Storm あたりから入手した exploit コードを用いてテストする。
Apache のエラーログに、
[Wed Jun 26 12:34:05 2002] [notice] child pid 10607 exit signal Segmentation fault (11)
が出なくて、Squid のアクセスログに
1025062349.972 6 61.206.141.236 NONE/413 1213 NONE error:request-too-large - NONE/- -
が出れば、たぶんOK。
Re:CobaltのFTPは何処? (スコア:1)
先の squid.conf はテスト用設定で http_access allow all なんて
危険な設定が入ってるからリバースプロキシだけじゃなく、
オープンなプロキシとして動いてしまいます。
もうちょっとマシな設定はこれ。
acl の virtualdomain とか virtualhost は
環境に合わせて調整が必要です。
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
redirect_rewrites_host_header off
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl virtualdomain dstdomain www.example.co.jp
acl virtualhost dst xxx.xxx.xxx.xxx
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow virtualdomain
http_access allow virtualhost
icp_access allow all
httpd_accel_host virtual
httpd_accel_uses_host_header on
pierreさんありがとう!参考になります。 (スコア:0)
業者の対応次第だったりします(泣)。