俺の日記帳　第二冊目

1 ：login:Penguin：2007/05/03(木) 12:29:53 ID:CbgoHqlv.net

批判は受け付けない。

391 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/07(火) 01:31:16 ID:nL6stT2T.net

上記の通りなので、設定は存在するが一切apacheに対してルールが適用されていない状態。
既に動いているWebアプリケーションもあるし、一旦ApacheにAppArmorをかけることを中断。
で、しぶしぶローカルにVMWareでテスト環境を構築中です…

392 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/07(火) 02:09:40 ID:nL6stT2T.net

今気がついたんだが…


ufw(iptable)　の　デ　フ　ォ　ル　ト　拒　否　を　忘　れ　て　た

$ sudo ufw default deny incoming
前にresetした後、defaultのdenyするのし忘れてたよ…
我ながら氏ねじゃなくて死ねって感じだ…orz

393 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/07(火) 03:04:32 ID:nL6stT2T.net

AppArmorを試しにphpsysinfoにかけてみたら上手くいったのでメモ

sudo aptitude install apache2 libapache2-mod-apparmor php5
sudo aptitude install apparmor-utils apparmor-profiles
sudo aptitude install phpsysinfo

sudo vi /etc/apache2/site-available/default
# 以下のディレクティブを適切な位置に追加する
<Directory /var/www/phpsysinfo/>
AAHatName phpsysinfo
</Directory>

sudo aa-enforce /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2
sudo a2enmod apparmor
# この時点でsudo aa-statusをすると「設定は存在するけど保護してないよ★」なメッセージが出る

sudo service apparmor restart
sudo service apache2 restart
# この時点でsudo aa-statusをすると保護してるリストにapacheが入ってる

394 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/07(火) 03:06:32 ID:nL6stT2T.net

・動作テスト方法
試しに以下の内容のphpファイルを/var/www/phpsysinfo以下にtest.phpとして置く
----
<?php
echo "Hello World";
if ( ! ($fp = fopen ("/home/(ユーザディレクトリ)/test.txt", "r"))) {
echo "can't open file...><";
　　　die("ファイルが開けません。");
}
?>
----

自分のホームディレクトリに適当にtest.txtを作っておく
ブラウザでhttp://(IPアドレス)/phpsysinfo/test.phpにアクセス、すると「can't open file...><」と表示される。
逆にこのメッセージが表示されない場合、AppArmorが効いていないってこと。
AppArmorがブロックをすると/var/log/messageにその旨が残るのでその点も確認しておくこと

395 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/07(火) 03:15:11 ID:nL6stT2T.net

phpsysinfoにapparmorを適用する手順については、以下のファイルの中に記載有り
/etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2

なお、AppArmor＋Apacheの構成についての文献は非常に少ない。
開発元のSUSEが出してる以下の文書は日本語で書かれており、結構充実しているのでオススメ。
http://ftp.hosteurope.de/mirror/ftp.opensuse.org/discontinued/SL-10.1/inst-source/docu/ja/apparmor-admin-guide_ja.pdf
※PDF注意

396 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/08(水) 16:49:38 ID:JX0Mipy1.net

ヤター！公開サーバでもAppArmor＋Apacheが出来た―!!＞＜

原因：間違えて sudo service apache2 reload してた…
正しくはrestartです…orz
apparmorの方は設定書き換え後reloadでおｋだけど、
Apacheの方はrestartしないと適用されません。ぐぬぬ…

さて、公開サーバの自分のWordPressに適用したところ、早速問題が。
トップや管理画面は問題なく開けるんですが、
個別の記事ページがpermissonがねえと403されてしまいます。
どうやらmod_rewrite関係の様子。
complainモードで動作させてみるか〜

397 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/08(水) 17:24:55 ID:JX0Mipy1.net

WordPress＋AppArmorが上手くいった予感。

----
^mc_wordpress {
#include <abstractions/apache2-common>
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/php5>

owner /(WordPressのディレクトリ)/** rw,
owner /(WordPressのディレクトリ)/ r,

/（ログディレクトリ）/mc_access.log w,
/（ログディレクトリ）/mc_error.log w,
}
----

owner /(WordPressのディレクトリ)/** rw,
当初↑この行とログの分だけで全て上手くいくかと思ってたら、
↓の行もないとうまく行かない。
owner /(WordPressのディレクトリ)/ rw,

WordPressでmod_rewrite使わないのであれば、**の行だけでも上手くいくのかも。

参考までにAppArmorをかけたWordPressを晒してみます。
もし問題があったら教えて下され＞＜
http://www.moving-castle-on-the-web.net/

398 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/12(日) 15:46:13 ID:3KTWIWwv.net

httpdのログ見てると百度がウザイ件。
どうせ百度から人来ないし、/etc/hosts.denyに追加してみる。

http://www.baidu.jp/spider/
↑のページに
IPアドレスの範囲: 119.63.195.0/24（119.63.195.1-119.63.195.254）
となっているので、このIPをはじく

sudo vi /etc/hosts.deny
ALL: 119.63.195.

以上で 糸冬

399 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/12(日) 16:48:39 ID:3KTWIWwv.net

>>398でこう書いているけど…

ぶっちゃげhost制御とiptablesでのフィルタリングとどっちが良いかわからない件orz
http://wiki.nbj.co.jp/devel/index.htm?TcpdVsIpTables

現在の所自分のサーバはiptablesによるフィルタリングのみ。
しかし色々見て回ると
「/etc/hosts.denyでALL:ALLで拒否して、必要なのを/etc/hosts.allowで許可すべし!!＞＜」
みたいな意見がちらほら。

denyhostsみたいなソフトの存在から考えると
「一概にhosts.denyでALL:ALLしなくてもいいんじゃね？」と悩んだが、
結局denyで全部はじいて必要なのをallowするように変更しました。

/etc/hosts.allowの内容
----
ALL: 自宅のIP 自分のVPSサーバのIP 127.0.0.1
sshd: 自宅のIP
httpd: ALL
----

※denysoftsについての参考URL
http://denyhosts.sourceforge.net/

400 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/12(日) 17:02:24 ID:3KTWIWwv.net

そんなワケで百度のIPをufwで弾くようにしてみました

現在のufwの設定
----
sudo ufw default deny incoming
sudo ufw allow from 自宅IP to any port (SSHのポート)
sudo ufw allow Apache
sudo ufw deny from 119.63.195.0/24
----

$ sudo ufw status
Status: active

To Action From
-- ------ ----
3022 ALLOW 自宅
Apache ALLOW Anywhere
Anywhere DENY 119.63.195.0/24