■ このスレッドは過去ログ倉庫に格納されています
俺の日記帳 第二冊目
- 1 :login:Penguin:2007/05/03(木) 12:29:53 ID:CbgoHqlv.net
- 批判は受け付けない。
- 391 :カミナリ桃 ◆hzkudVaLnM :2010/12/07(火) 01:31:16 ID:nL6stT2T.net
- 上記の通りなので、設定は存在するが一切apacheに対してルールが適用されていない状態。
既に動いているWebアプリケーションもあるし、一旦ApacheにAppArmorをかけることを中断。
で、しぶしぶローカルにVMWareでテスト環境を構築中です…
- 392 :カミナリ桃 ◆hzkudVaLnM :2010/12/07(火) 02:09:40 ID:nL6stT2T.net
- 今気がついたんだが…
ufw(iptable) の デ フ ォ ル ト 拒 否 を 忘 れ て た
$ sudo ufw default deny incoming
前にresetした後、defaultのdenyするのし忘れてたよ…
我ながら氏ねじゃなくて死ねって感じだ…orz
- 393 :カミナリ桃 ◆hzkudVaLnM :2010/12/07(火) 03:04:32 ID:nL6stT2T.net
- AppArmorを試しにphpsysinfoにかけてみたら上手くいったのでメモ
sudo aptitude install apache2 libapache2-mod-apparmor php5
sudo aptitude install apparmor-utils apparmor-profiles
sudo aptitude install phpsysinfo
sudo vi /etc/apache2/site-available/default
# 以下のディレクティブを適切な位置に追加する
<Directory /var/www/phpsysinfo/>
AAHatName phpsysinfo
</Directory>
sudo aa-enforce /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2
sudo a2enmod apparmor
# この時点でsudo aa-statusをすると「設定は存在するけど保護してないよ★」なメッセージが出る
sudo service apparmor restart
sudo service apache2 restart
# この時点でsudo aa-statusをすると保護してるリストにapacheが入ってる
- 394 :カミナリ桃 ◆hzkudVaLnM :2010/12/07(火) 03:06:32 ID:nL6stT2T.net
- ・動作テスト方法
試しに以下の内容のphpファイルを/var/www/phpsysinfo以下にtest.phpとして置く
----
<?php
echo "Hello World";
if ( ! ($fp = fopen ("/home/(ユーザディレクトリ)/test.txt", "r"))) {
echo "can't open file...><";
die("ファイルが開けません。");
}
?>
----
自分のホームディレクトリに適当にtest.txtを作っておく
ブラウザでhttp://(IPアドレス)/phpsysinfo/test.phpにアクセス、すると「can't open file...><」と表示される。
逆にこのメッセージが表示されない場合、AppArmorが効いていないってこと。
AppArmorがブロックをすると/var/log/messageにその旨が残るのでその点も確認しておくこと
- 395 :カミナリ桃 ◆hzkudVaLnM :2010/12/07(火) 03:15:11 ID:nL6stT2T.net
- phpsysinfoにapparmorを適用する手順については、以下のファイルの中に記載有り
/etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2
なお、AppArmor+Apacheの構成についての文献は非常に少ない。
開発元のSUSEが出してる以下の文書は日本語で書かれており、結構充実しているのでオススメ。
http://ftp.hosteurope.de/mirror/ftp.opensuse.org/discontinued/SL-10.1/inst-source/docu/ja/apparmor-admin-guide_ja.pdf
※PDF注意
- 396 :カミナリ桃 ◆hzkudVaLnM :2010/12/08(水) 16:49:38 ID:JX0Mipy1.net
- ヤター!公開サーバでもAppArmor+Apacheが出来た―!!><
原因:間違えて sudo service apache2 reload してた…
正しくはrestartです…orz
apparmorの方は設定書き換え後reloadでおkだけど、
Apacheの方はrestartしないと適用されません。ぐぬぬ…
さて、公開サーバの自分のWordPressに適用したところ、早速問題が。
トップや管理画面は問題なく開けるんですが、
個別の記事ページがpermissonがねえと403されてしまいます。
どうやらmod_rewrite関係の様子。
complainモードで動作させてみるか〜
- 397 :カミナリ桃 ◆hzkudVaLnM :2010/12/08(水) 17:24:55 ID:JX0Mipy1.net
- WordPress+AppArmorが上手くいった予感。
----
^mc_wordpress {
#include <abstractions/apache2-common>
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/php5>
owner /(WordPressのディレクトリ)/** rw,
owner /(WordPressのディレクトリ)/ r,
/(ログディレクトリ)/mc_access.log w,
/(ログディレクトリ)/mc_error.log w,
}
----
owner /(WordPressのディレクトリ)/** rw,
当初↑この行とログの分だけで全て上手くいくかと思ってたら、
↓の行もないとうまく行かない。
owner /(WordPressのディレクトリ)/ rw,
WordPressでmod_rewrite使わないのであれば、**の行だけでも上手くいくのかも。
参考までにAppArmorをかけたWordPressを晒してみます。
もし問題があったら教えて下され><
http://www.moving-castle-on-the-web.net/
- 398 :カミナリ桃 ◆hzkudVaLnM :2010/12/12(日) 15:46:13 ID:3KTWIWwv.net
- httpdのログ見てると百度がウザイ件。
どうせ百度から人来ないし、/etc/hosts.denyに追加してみる。
http://www.baidu.jp/spider/
↑のページに
IPアドレスの範囲: 119.63.195.0/24(119.63.195.1-119.63.195.254)
となっているので、このIPをはじく
sudo vi /etc/hosts.deny
ALL: 119.63.195.
以上で 糸冬
- 399 :カミナリ桃 ◆hzkudVaLnM :2010/12/12(日) 16:48:39 ID:3KTWIWwv.net
- >>398でこう書いているけど…
ぶっちゃげhost制御とiptablesでのフィルタリングとどっちが良いかわからない件orz
http://wiki.nbj.co.jp/devel/index.htm?TcpdVsIpTables
現在の所自分のサーバはiptablesによるフィルタリングのみ。
しかし色々見て回ると
「/etc/hosts.denyでALL:ALLで拒否して、必要なのを/etc/hosts.allowで許可すべし!!><」
みたいな意見がちらほら。
denyhostsみたいなソフトの存在から考えると
「一概にhosts.denyでALL:ALLしなくてもいいんじゃね?」と悩んだが、
結局denyで全部はじいて必要なのをallowするように変更しました。
/etc/hosts.allowの内容
----
ALL: 自宅のIP 自分のVPSサーバのIP 127.0.0.1
sshd: 自宅のIP
httpd: ALL
----
※denysoftsについての参考URL
http://denyhosts.sourceforge.net/
- 400 :カミナリ桃 ◆hzkudVaLnM :2010/12/12(日) 17:02:24 ID:3KTWIWwv.net
- そんなワケで百度のIPをufwで弾くようにしてみました
現在のufwの設定
----
sudo ufw default deny incoming
sudo ufw allow from 自宅IP to any port (SSHのポート)
sudo ufw allow Apache
sudo ufw deny from 119.63.195.0/24
----
$ sudo ufw status
Status: active
To Action From
-- ------ ----
3022 ALLOW 自宅
Apache ALLOW Anywhere
Anywhere DENY 119.63.195.0/24
総レス数 984
445 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★