セキュリティと Apache：初級必読本 1

マックスウェルの悪魔と善悪の区別

「遠いむかし、遥かかなた
あるときマックスウェルは気がついた。
またとないほどすばやくて、原子の流れに追いつくほどの
そんな悪魔が必要だ。
熱い空気を揺り動かし、自然の法則に逆らって
熱がどこにでも行くように。
マックスウェルの悪魔よ、現れたまえ、救いたまえ」
-- Christopher Stasheff 『Her Majesty's Wizard』より

勝ち目があるとすれば、本当にインターネットへ公開したくないページは、 あなたの Web サイトにはたった数ページしかないということだ。それらのページを、 善人からのアクセスを妨げずに、悪人の奴らから隠しておくにはどうすればいいのだろうか?

Apache のセキュリティでも防げないこと
この記事を書いていた当時 (2000 年 2 月)、大手の Web サイトがサービス拒否 (DoS) 攻撃によって一時的に ダウンしたという、たくさんのニュースが報道されていた。

このとき問題になったような種類の攻撃は、たとえ Web サイトを標的としたものであっても Apache では防ぐ ことができない。 Apache はシステムで動作するソフトウェア アプリケーションにすぎないず、攻撃はシステムそのものへ向けら れているからだ。

次のような指摘がある。 「もし1GB/s のデータがサーバーへ向かえば、Apache がそれらのパケットを受け取る前に、システムのパイ プは飽和状態になってしまうだろう。」

しかし、そのような極端な場合を除けば、Apache に実装されている Web セキュリティ機構は、正しく設定 すれば重要なページを保護するには十分すぎるほどだろう。

前提事項
この記事では、以下の前提のもとに話をすすめる。

1. Apache のソース ツリーが ./apache-1.3/ から始まること
2. Apache の ServerRoot が /usr/local/web/apache であること
3. Apache の DocumentRoot が /usr/local/web/htdocs であること
4. Apache が実行されるときのユーザー名 (httpd.conf ファイルの User 指示子 の値) が nobody であること

記事中で cd や他のシェル コマンドでディレクトリを参照する場合は、上記の場所が使われ る。

次は 強制/任意アクセス制御 >>

• 【ミミズクの目】ジャズ界初の動画コンテストが YouTube で開催（Webビジネス 11月22日 12:10）
  YouTube でジャズ動画コンテスト「Diners Club Presents - Jazz Session on YouTube」が開催。
• 【今週の Web ミミズク】Chrome OS は SSD に乗って（Webテクノロジー 11月21日 12:00）
  今週のテーマは“半導体ドライブ”、いわゆる“SSD”だ。“シリコンディスク”とか半導体ディスク、擬似ディスクと呼ばれたりするようだが、最近 SSD 関連のニュースをよく見かけるようになった。
• Adobe が『Acrobat.com』を一新、モバイル用アプリも登場（Webビジネス 11月21日 11:10）
  Adobe Systems はオンライン アプリケーション サービス『Acrobat.com』を一新する。35の新機能を追加するほか、レイアウトデザインが改良され、初のモバイル用アプリケーションも登場する。
• Infoseek 検索キーワードランキング (2009/11/10〜11/16)（Webマーケティング 11月20日 19:10）
  今週の時事は、予算概算要求の無駄を洗い出す“事業仕分け”が開始した「行政刷新会議」が今週の1位。
• レコチョク週間ランキング（2009年11月11日〜11月17日）（Webマーケティング 11月20日 18:40）
  レコチョク週間ランキング（2009年11月11日〜11月17日）。レコチョク集計による「着うた」、「着うたフル」、「着ムービー」を掲載します。