セキュリティと Apache：初級必読本 1

マックスウェルの悪魔と善悪の区別

「遠いむかし、遥かかなた
あるときマックスウェルは気がついた。
またとないほどすばやくて、原子の流れに追いつくほどの
そんな悪魔が必要だ。
熱い空気を揺り動かし、自然の法則に逆らって
熱がどこにでも行くように。
マックスウェルの悪魔よ、現れたまえ、救いたまえ」
-- Christopher Stasheff 『Her Majesty's Wizard』より

勝ち目があるとすれば、本当にインターネットへ公開したくないページは、 あなたの Web サイトにはたった数ページしかないということだ。それらのページを、 善人からのアクセスを妨げずに、悪人の奴らから隠しておくにはどうすればいいのだろうか?

Apache のセキュリティでも防げないこと
この記事を書いていた当時 (2000 年 2 月)、大手の Web サイトがサービス拒否 (DoS) 攻撃によって一時的に ダウンしたという、たくさんのニュースが報道されていた。

このとき問題になったような種類の攻撃は、たとえ Web サイトを標的としたものであっても Apache では防ぐ ことができない。 Apache はシステムで動作するソフトウェア アプリケーションにすぎないず、攻撃はシステムそのものへ向けら れているからだ。

次のような指摘がある。 「もし1GB/s のデータがサーバーへ向かえば、Apache がそれらのパケットを受け取る前に、システムのパイ プは飽和状態になってしまうだろう。」

しかし、そのような極端な場合を除けば、Apache に実装されている Web セキュリティ機構は、正しく設定 すれば重要なページを保護するには十分すぎるほどだろう。

前提事項
この記事では、以下の前提のもとに話をすすめる。

1. Apache のソース ツリーが ./apache-1.3/ から始まること
2. Apache の ServerRoot が /usr/local/web/apache であること
3. Apache の DocumentRoot が /usr/local/web/htdocs であること
4. Apache が実行されるときのユーザー名 (httpd.conf ファイルの User 指示子 の値) が nobody であること

記事中で cd や他のシェル コマンドでディレクトリを参照する場合は、上記の場所が使われ る。

次は 強制/任意アクセス制御 >>

• 【今週の Web ミミズク】Frame Zero、構造化データ、太陽光発電（Webビジネス 11月7日 09:00）
  世界中の構造化データを集めて計算するという「Wolfram|Alpha」。API も公開し、iPhone アプリも販売を開始した。ポケッタブルな百科全書だ。49.99ドルと少々お値段は高い。
• オバマ大統領の着ている服で天気がわかる「Obama-Weather」（Webビジネス 11月7日 09:00）
  Obama-Weather はいわゆる天気予報サイトであるが、そのわかりやすさが特徴である。
• SAP、Apache コミュニティに参画（LinuxToday 11月6日 17:20）
  SAP は、Maven、VXQuery、Tomcat、OpenEJB、ActiveMQ などのプロジェクトにさらに貢献、今後発表する SAP NetWeaver Application Server コンポーネントに活用する意向。
• Amazon.co.jp が PB「Amazon ベーシック」製品を発売〜簡単開封パッケージも導入へ（E-コマース 11月6日 16:50）
  オンラインストアの「Amazon.co.jp」は2009年11月5日、Amazon が世界で展開するプライベートブランド「Amazon ベーシック」製品の提供を開始した。
• 米国の太陽光発電市場はハード、ソフトの両面で拡大の兆し――シード・プランニング調査（Webファイナンス 11月6日 16:40）
  同社の調査レポート「太陽光発電ベンチャー企業動向」によると、米国では、太陽電池製造技術にナノテクノロジーを利用した CIGS 太陽電池や有機薄膜太陽電池を研究開発するベンチャー企業が多数登場しているという。