セキュリティと Apache：初級必読本 6

継承
他のほとんどの Apache 構成と同様に、特定のドキュメントやディレクトリへ適用されたセキュリティ指示子は、親レ ベルから、または、ツリー構造のより上位のレベルからも継承される。そのため、各レベルで異なる指示子だけを設定 すればいいことになる。次の 2 つの例は同じ設定を表す。

2 つめの例では、親ディレクトリからの値の継承をうまく利用しており、サブディレクトリではアクセス リストを Bob と Susan に制限する指定だけで済んでいる。

一般的に、セキュリティの問題を扱う際に仮定をたてすぎるのはよい方法ではない。継承を利用して、あちこちで同 じ指示子を何度も記述する必要がなくなり楽になったと思っても、それは思いこみかもしれないのだ。高位のディレク トリに対する設定を 1 つ間違うだけで、継承されたすべての値が不適切なものになってしまい、面倒な結果になること もあるということを覚えておこう。

また、いくつかのアクセス制御モジュールのうち、アクセスが許可されるかどうかの最終決定権を持つのはどれかを 判別することも重要だ。

特定のユーザー名の要求
AuthUserFile や同種の指示子が、Apache (およびセキュリティ モジュール) に認証データベースの ある場所を知らせる役割を果たすのに対し、Require 指示子は、それらの使用法についての指示を与え る。あるセキュリティ範囲が Require 指示子を含まない (または継承しない) 場合、他の指示子があ るかどうかにかかわらず、任意アクセス制御は行われない。

Require 指示子による設定が複数ある場合は、それらはすべて条件リストに追加される。最初に一 致した条件で処理が止まるか、すべての条件を調べることになるかどうかは、モジュールのプログラマー次第だ。たと えば mod_auth では、処理が始まってから最初に一致したところでアクセスの条件が満たされる。以下 のような例を考えてみよう。

この例では、「ユーザー名が foo または bar であることが必要」だ。

アクセス リストが大きくなった時に設定が複雑になるのを避けるため、「 Require valid-user」のような省略表記がある。これは「認証データベース中にユーザー名があ れば、この保護領域にアクセスできる」という意味だ。これがうまく動作するには、アクセスを許可するユーザーの証 明情報のみがデータベースに含まれている必要がある。アクセスさせたくないユーザーの証明情報がデ ータベース内にある場合は (複数の保護領域を通じて 1 つのデータベースを共有している場合に起こるかもしれない) 、グループ化や他のメカニズムを使う必要があるだろう。valid-user キーワードでは十分ではないか らだ。

Require 指示子はどのモジュールでも共通に使えるが、その構文はそうではない。使用される構文 に制限がないのだ。例えば、「Require candy-type caramel」という構文であっても、こ れを解釈できるセキュリティ モジュールがあれば問題ない。

ほとんどの任意制御モジュールでは、ユーザーのグループ化をサポートしており、個人の代わりにグループへアクセ ス許可を与えることができる。この機能は (mod_auth では) AuthGroupFile 指示子を 使って設定する。ユーザー ファイルと同様に、グループ ファイルには、各行にグループ名、コロン、そしてコンマで 区切られたユーザー名からなるテキスト情報だけが含まれている。アクセス要求の証明情報からユーザー名を受け取る と、モジュールはグループ ファイルを検索して、そのユーザーがどのグループに属しているかが調べられる。次はグル ープ ファイルの一例だ。

グループによるアクセスを許可するには、Require 指示子を次のように変更するだけでいい。

通常の UNIX ユーザーと同じように、1 つのユーザー名は複数のグループに属することが可能だ。

次は Apache の標準セキュリティ モジュール >>