japan.internet.com
japan.internet.com メンバーID
Twitter
Facebook
RSS
ピックアップ
キャリア
転職ならen
派遣ならen
アルバイトならen
IT求人情報
FX比較
ネット証券比較
商品先物取引比較
ホワイトペーパー
九州野菜
九州米
漫画喫茶
ホテル予約
ビジネスSNS
温泉
ピックアップメニュー
特集
ホワイトペーパー
レビュー
価格比較
資格・スクール
j.i.c.ブログ
グルメ検索
ホテル予約
パートナーサイト
転職ならエン
就職ならen
求人ならen
結婚式場情報ならen
翻訳ならLWC
東京ホテル
今週のIT求人情報
有限会社エイチ・アイ・ピー
医療広報物の企画営業
エレクトロビット日本株式会社
組み込みエンジニア(車載用システム担当)
トリンプ・インターナショナル・ジャパン株式会社
社内IT担当
その他 IT求人情報はこちら
Powerd by en
j.i.c メディア
携帯サイト
Androidアプリ
Androidサイト
iPhoneアプリ
iPhoneサイト
twitter
Facebook
iPadアプリ
ニュースメール
RSS
ガジェット
2001年4月21日 00:00

セキュリティと Apache:初級必読本 5

著者Ken Coarオリジナル版を読む海外海外発
tutorial logo
IP アドレスによるアクセス制限

IP アドレスは、クライアント/サーバー型の HTTP リレーションシップを確立するための一要素だ。送信中 に変更 することはできないし、ネットワーク システムへ割り込む協力者なしには偽装するのは難しいので、非任意制 御とみな されている。そのため、Apache のディストリビューションには、mod_access などのアクセス制 限用モ ジュールが含まれている。

mod_access モジュールを使えば、アクセスを許可/拒絶するドメインやアドレス、および 2 つのリ スト (許可と拒絶) が評価される順序を指定することができる。AllowDeny 指示子 の基本的な構文を以下に示す。

Allow from host-or-network

host-or-network に指定できるのは次のようなものだ。

  • ホストまたはドメイン名 (www.foo.com)
  • IP アドレス (10.0.72.3)
  • IP アドレスとサブネット マスク (10.0.0.0/255.0.0.0)
  • IP アドレスと CIDR マスク サイズ (10.73.128.0/18)

できれば常にドメイン名ではなく IP アドレスを使うほうがいい。ドメイン名を使用すると、Apache サー バーはそ れをクライアントの IP アドレスへ変換するために二重逆引きを行う必要があるからだ。(二重逆引きとは、セ キュリテ ィに関連した状況でホスト名を扱う際に、Apache が常に行う作業だ。名前をいったん IP アドレスへ 変換して 、それをまた名前へ戻す。この双方向の変換がうまくいかなかったら、Apache はホスト/ドメイン名の一致に 失敗した とみなす。)

他にも Allow および Deny 指示子を使った指定方法がある。「 from env=[!]envariable-name」を使えば、環境変数の有無をもとにして可/不可の決定 ができるのだ。環境変数はサーバー全体の環境に対して設定することもできるし、mod_setenvif のよ うなモジュールを使えば、各要求に対して設定することもできる。

Order 指示子は、Allow および Deny 指示子のリストが並んで いる 場合に、その解釈方法を制御する。順序が Allow,Deny (キーワードの間にはスペースを入れて はいけ ない!) の場合、初期状態は Deny from All と同じであり、Allow の条件 リストが処理された後、Deny の条件リストが処理される。Order Deny,Allow は その逆で、初期状態では「すべて許可」 であり、Deny の条件リストが処理された後、 Allow の条件リストが処理される。

デフォルトの状態を覚えておくための簡単な方法は、それが最後のキーワードと一致するということを思い 出せばい い。つまり、Deny,Allow は「許可」で、Allow,Deny は「拒否」となる。

Order 指示子の設定には、もう 1 つある。mutual-failure だ。このキーワー ドで は「デフォルトの状態」がない。アクセスが許可されるクライアントは、どの Deny 指 示子に もなく、少なくとも 1 つの Allow 指示子にある必要がある。

ユーザー認証による制限
保護されたページへの訪問者はユーザー名とパスワードを入力する必要があるように設定する場合は、 mod_auth モジュールが役に立つ。これは、任意制御モジュールの中でも、もっともシンプルで 簡単に 使えるものの 1 つだ。

アクセス制御を確立する上で重要な指示子は、認証データベースの場所の定義と承認されたユ ーザー の確認に関するものだ。mod_auth モジュールでは、それらの指示子は AuthUserFileRequire だ。他のモジュールにも同様の役割を持つ指示子がある。

AuthUserFile 指示子は、フルパスで指定したファイル名をとる (例: /home/foo/.htpasswd-foo)。これは、現在の保護領域でモジュールが使用するテキスト形式の認 証フ ァイルの場所を指定するものだ。パスの省略形や相対パスによるファイル指定は許可されていない。

Require 指示子は、実は mod_auth に特有なものというよりはコア サーバー の一 部であり、<http://www.apache.org/docs/mod/core.h tml#require>に説明されている。Require については、次のセクションでもう少し 詳しく 説明する。

次は ラベルと継承 >>

関連記事
関連テーマ
プリンター用
記事を転送
この記事をクリップ!
【特別連載企画】大艦巨砲主義にして卓越したレスポンス--GALAXY S II WiMAX
【特別連載企画】大艦巨砲主義にして卓越したレスポンス--GALAXY S II WiMAX 1月20日より販売が開始されたサムスン製スマートフォン「GALAXY S II WiMAX」。カタログスペックでは、他メーカーのハイエンド機と同じように見えても、実際に使うと卓越したレスポンスに驚かされる。
⇒詳細記事はこちら
⇒連載記事一覧はこちら
注目のトピックス
話題の記事
⇒一覧を見る
アクセスランキング
⇒1位〜20位
最新コラム一覧
百式のネットビジネス研究
百式のネットビジネス研究
次のフライトでお好みの座席が空いたら教えてくれる「Expert Flyer」
週刊-サイト別アクセス状況データ
週刊-サイト別アクセス状況データ
12月の主婦層、ベルメゾンが首位を維持(VRI 調査)
アウンのグローバルマーケティング動向
アウンのグローバルマーケティング動向
Web プロモーションにおいて大切なこと―年度末編―
多言語×Web×海外マーケティング情報
多言語×Web×海外マーケティング情報
海外発、注目 AR プロモーション
エンジニア転職ノウハウ開発室
エンジニア転職ノウハウ開発室
楽天が目指す変革──Globalization、Agile、Big Data
中国・台湾ネットビジネス情報最前線
中国・台湾ネットビジネス情報最前線
中国から Web を見てもらいたいならば
マーケティングに活用できる最新トレンド
マーケティングに活用できる最新トレンド
改めて、「導線」最適化に目を向ける
次世代マーケティングチェーンの視点
次世代マーケティングチェーンの視点
ソーシャル時代における BtoC 型 Eコマース成功のポイント
コラム一覧
連載・スペシャルコンテンツ
経済評論家 山崎元のビジネス羅針盤
経済評論家 山崎元のビジネス羅針盤
ビジネスパーソンが企業社会を生き抜くために必要なノウハウを経済評論家 山崎元が独自の切り口で解説・指南する。
Android 勢を牽引する「GALAXY」
Android 勢を牽引する「GALAXY」
チャレンジ精神旺盛でハイスペック機メーカーの Samsung が送り出しすスマートフォンの実力とは
企業と消費者が「つながる」
企業と消費者が「つながる」
拡大する「ソーシャルメディアマーケティング」。企業が消費者と生み出すコミュニケーションの新潮流とは。
女性のためのデジタルトピックス
女性のためのデジタルトピックス
女性に身近なデジタルに関するトピックス、商品やトレンドに関するニュース記事をご紹介しています。
楽天株式会社が応募ガイダンス開催!
楽天株式会社が応募ガイダンス開催!
世界No.1のネット企業を目指す楽天が、WEBアプリケーションエンジニアを募集中!
特集・インタビュー記事の一覧
Copyright 2012 internet.com K.K. (Japan) All Rights Reserved.