セキュリティと Apache：初級必読本 1

マックスウェルの悪魔と善悪の区別

「遠いむかし、遥かかなた
あるときマックスウェルは気がついた。
またとないほどすばやくて、原子の流れに追いつくほどの
そんな悪魔が必要だ。
熱い空気を揺り動かし、自然の法則に逆らって
熱がどこにでも行くように。
マックスウェルの悪魔よ、現れたまえ、救いたまえ」
-- Christopher Stasheff 『Her Majesty's Wizard』より

勝ち目があるとすれば、本当にインターネットへ公開したくないページは、 あなたの Web サイトにはたった数ページしかないということだ。それらのページを、 善人からのアクセスを妨げずに、悪人の奴らから隠しておくにはどうすればいいのだろうか?

Apache のセキュリティでも防げないこと
この記事を書いていた当時 (2000 年 2 月)、大手の Web サイトがサービス拒否 (DoS) 攻撃によって一時的に ダウンしたという、たくさんのニュースが報道されていた。

このとき問題になったような種類の攻撃は、たとえ Web サイトを標的としたものであっても Apache では防ぐ ことができない。 Apache はシステムで動作するソフトウェア アプリケーションにすぎないず、攻撃はシステムそのものへ向けら れているからだ。

次のような指摘がある。 「もし1GB/s のデータがサーバーへ向かえば、Apache がそれらのパケットを受け取る前に、システムのパイ プは飽和状態になってしまうだろう。」

しかし、そのような極端な場合を除けば、Apache に実装されている Web セキュリティ機構は、正しく設定 すれば重要なページを保護するには十分すぎるほどだろう。

前提事項
この記事では、以下の前提のもとに話をすすめる。

1. Apache のソース ツリーが ./apache-1.3/ から始まること
2. Apache の ServerRoot が /usr/local/web/apache であること
3. Apache の DocumentRoot が /usr/local/web/htdocs であること
4. Apache が実行されるときのユーザー名 (httpd.conf ファイルの User 指示子 の値) が nobody であること

記事中で cd や他のシェル コマンドでディレクトリを参照する場合は、上記の場所が使われ る。

次は 強制/任意アクセス制御 >>

• レノボ、4日発売予定のネットブック「IdeaPad S10-2」の発売を延期（Webテクノロジー 7月4日 10:00）
  レノボ・ジャパン株式会社は2009年7月3日、ネットブック「IdeaPad S10-2（エステンダッシュツー）」の量販店での販売開始を延期することを発表した。
• 文書共有サイト「Hotdocs」リニューアルで、デジタル雑誌の“ちら見せ”プロモーション（E-コマース 7月3日 17:40）
  今回のサイトリニューアルで、会員システムを、従来通りの一般会員と、出版社など法人向けパートナー会員の2つに分け、一般投稿とは別に、法人が自社コンテンツを公式コンテンツとしてプロモーションできるようになった。パートナー会員第1号は富士山マガジンサービス。
• モルフォの「TrackSolid」など6つの技術が「SoftBank 935SH」に搭載（携帯・ワイヤレス 7月3日 17:30）
  株式会社モルフォは2009年7月3日、同社が開発した6つの技術が、同日発売されたソフトバンクの夏モデル「SoftBank 935SH」（シャープ製）に搭載されたことを発表した。
• ジー・モード、エヴァの携帯ゲーム「駆け抜けろ！！第三新東京市」を無料配信（携帯・ワイヤレス 7月3日 17:30）
  ジー・モードは2009年7月3日、同社の運営する携帯電話向け無料ゲームサイト「ゲームモラエール」にて、アニメ「新世紀エヴァンゲリオン」のゲーム「駆け抜けろ！！第三新東京市 キャンペーン版」の無料配信を開始した。
• 夏モデルを購入したいというユーザーは4割半ば―携帯買い替えニーズ定期リサーチ（47）（デイリーリサーチ 7月3日 17:00）
  インターネットコム株式会社と goo リサーチがレポートする「携帯電話買い替えニーズ定期リサーチ」の第47回。今回は、続々と発売されている夏モデルへの購入意向についても調査した。