セキュリティと Apache：初級必読本 5

IP アドレスは、クライアント/サーバー型の HTTP リレーションシップを確立するための一要素だ。送信中 に変更 することはできないし、ネットワーク システムへ割り込む協力者なしには偽装するのは難しいので、非任意制 御とみな されている。そのため、Apache のディストリビューションには、mod_access などのアクセス制 限用モ ジュールが含まれている。

mod_access モジュールを使えば、アクセスを許可/拒絶するドメインやアドレス、および 2 つのリ スト (許可と拒絶) が評価される順序を指定することができる。Allow と Deny 指示子 の基本的な構文を以下に示す。

Allow from host-or-network

host-or-network に指定できるのは次のようなものだ。

• ホストまたはドメイン名 (www.foo.com)
• IP アドレス (10.0.72.3)
• IP アドレスとサブネット マスク (10.0.0.0/255.0.0.0)
• IP アドレスと CIDR マスク サイズ (10.73.128.0/18)

できれば常にドメイン名ではなく IP アドレスを使うほうがいい。ドメイン名を使用すると、Apache サー バーはそ れをクライアントの IP アドレスへ変換するために二重逆引きを行う必要があるからだ。(二重逆引きとは、セ キュリテ ィに関連した状況でホスト名を扱う際に、Apache が常に行う作業だ。名前をいったん IP アドレスへ 変換して 、それをまた名前へ戻す。この双方向の変換がうまくいかなかったら、Apache はホスト/ドメイン名の一致に 失敗した とみなす。)

他にも Allow および Deny 指示子を使った指定方法がある。「 from env=[!]envariable-name」を使えば、環境変数の有無をもとにして可/不可の決定 ができるのだ。環境変数はサーバー全体の環境に対して設定することもできるし、mod_setenvif のよ うなモジュールを使えば、各要求に対して設定することもできる。

Order 指示子は、Allow および Deny 指示子のリストが並んで いる 場合に、その解釈方法を制御する。順序が Allow,Deny (キーワードの間にはスペースを入れて はいけ ない!) の場合、初期状態は Deny from All と同じであり、Allow の条件 リストが処理された後、Deny の条件リストが処理される。Order Deny,Allow は その逆で、初期状態では「すべて許可」 であり、Deny の条件リストが処理された後、 Allow の条件リストが処理される。

デフォルトの状態を覚えておくための簡単な方法は、それが最後のキーワードと一致するということを思い 出せばい い。つまり、Deny,Allow は「許可」で、Allow,Deny は「拒否」となる。

Order 指示子の設定には、もう 1 つある。mutual-failure だ。このキーワー ドで は「デフォルトの状態」がない。アクセスが許可されるクライアントは、どの Deny 指 示子に もなく、少なくとも 1 つの Allow 指示子にある必要がある。

ユーザー認証による制限
保護されたページへの訪問者はユーザー名とパスワードを入力する必要があるように設定する場合は、 mod_auth モジュールが役に立つ。これは、任意制御モジュールの中でも、もっともシンプルで 簡単に 使えるものの 1 つだ。

アクセス制御を確立する上で重要な指示子は、認証データベースの場所の定義と承認されたユ ーザー の確認に関するものだ。mod_auth モジュールでは、それらの指示子は AuthUserFile と Require だ。他のモジュールにも同様の役割を持つ指示子がある。

AuthUserFile 指示子は、フルパスで指定したファイル名をとる (例: /home/foo/.htpasswd-foo)。これは、現在の保護領域でモジュールが使用するテキスト形式の認 証フ ァイルの場所を指定するものだ。パスの省略形や相対パスによるファイル指定は許可されていない。

Require 指示子は、実は mod_auth に特有なものというよりはコア サーバー の一 部であり、<http://www.apache.org/docs/mod/core.h tml#require>に説明されている。Require については、次のセクションでもう少し 詳しく 説明する。

次は ラベルと継承 >>

• サンワサプライ、クリック/ホイール音の少ない"静音"マウス発売 08:00
• 「SnapDish」の料理写真を直接「goo ブログ」に投稿、両サービスが連携 07:00
• アート性が高い Instagram の写真を販売・購入できる「HASHPIX」 06:00
• チョキチョキ切って気分爽快！iPhone/iPad 向けゲームアプリ「Cut the Buttons」日本語版リリース 5/26
• 地図サイト「MapFan」、全キャリアの Android・iPhone に対応 5/26
>>その他の新着ニュース・コラム

• アジアパシフィックにおけるソーシャルメディア・トレンド〜グローバルな視点、ローカル市場での現実〜 (ネットレイティングス株式会社)
• 【プレジデント・gooリサーチ共同】時間の使い方に関するアンケート (NTTレゾナント株式会社)
• 情報共有と業務効率化を実現するためのお手軽グループウェア (リスモン・ビジネス・ポータル株式会社)
• Yahoo!検索プラグイン開発マニュアル (Yahoo! JAPAN)
• 「暗号の2010年問題」対応ガイド〜サーバ管理者のためのチェックリスト10項目〜 (日本ベリサイン株式会社)