このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

自宅サーバーでホスティングしている方へ このメッセージに返信する
日時: 2010/02/14 15:34
名前: lental
URL:
自宅サーバーで、CentOSでWEBホスティングされている方にご質問です。

このサイトの手順でホスティングする場合、ユーザーディレクトリを

ホスティング領域とし、サブディレクトリやサブドメインでホスティング

されていると思いますが、セキュリティはどの程度の対策を行っておられる

のでしょうか?

cgiやphpのプログラム関連の設置を許容することで、一気にセキュリティリスク

が上ると思いますが、suExecはデフォルトなので良いとして、suphpやmod_securityや

mod_chroot、mod_jail(FreeBSD?)を使用されているのでしょうか?

参考までに教えて頂けるとありがたいです。

記事編集 編集
Re: 自宅サーバーでホスティングしている方へ このメッセージに返信する
日時: 2010/02/26 01:37
名前: lental
URL:
質問の後、いろいろと調べさせて頂いたのですが、

たとえば、suExec環境、また、suPHP環境とする事で、ユーザー権限で動作し、

FTPやUSERMIN、SSHを使用してファイルをアップロードさせている場合、

それぞれでchrootの設定は可能ですが、結局は、ファイルマネージャ等のプログラム

をPHPやCGIでインストールしてしまうと、全てのディレクトリが参照可能です。

試しに、 PHP Navigaterというファイルマネージャをインストールし、config.phpの

$homedirを$homedir = "/var";とすると、簡単に参照できてしまいました。

他のディレクトリも多くが参照可能ですので、変更できないにしろ、大変危険と思います。


皆さんはどのようにしてこれを回避されているでしょうか?

/var/wwwのcactiやnagiosは参照できないと困りますので、パーミッションで制御するわけにも

いきません。

Apache(CGI,PHP)にもchrootの機能が付いていればよいのですが、なかなか見当たりません。

(UserDirが設定できる時点でこの辺の対策ができるようになっていてほしいものです)


是非ご指導頂ければ幸いです。
記事編集 編集
Re: 自宅サーバーでホスティングしている方へ このメッセージに返信する
日時: 2010/02/26 07:11
名前: stranger
URL: http://ja.528p.com/
>皆さんはどのようにしてこれを回避されているでしょうか?
>
>/var/wwwのcactiやnagiosは参照できないと困りますので、パーミッションで制御するわけにも
>
>いきません。
>
>Apache(CGI,PHP)にもchrootの機能が付いていればよいのですが、なかなか見当たりません。
>
>(UserDirが設定できる時点でこの辺の対策ができるようになっていてほしいものです)
>
>
>是非ご指導頂ければ幸いです。

apacheはhostやIPアドレスでアクセス制限できます
apache2.2のallow,denyの説明
http://httpd.apache.org/docs/2.2/ja/mod/mod_authz_host.html

認証機能もあるのでそちらで制限もできます
apache アクセス制限 等でnet検索しましょう
記事編集 編集
Re: 自宅サーバーでホスティングしている方へ このメッセージに返信する
日時: 2010/02/26 09:25
名前: 初心者ユーザー
URL:
>>strangerさん

WEBからのアクセスではなく、インクルードする事ができるので、参照
できる事そのものを制限したいのです。

PHPやSSIでインクルードすれば、正常に動作はしませんが、内容の読取
は可能です。

nagiosやcactiであればまったく問題有りませんが、場合によってはパスワード

を保管しているディレクトリも読込まれてしまいます。

基本的には暗号化されているので大丈夫ですが、たとえばこのサイトの例にある

/backupディレクトリに保管しているmysqlのファイルやバックアップファイルが

読取(取得)可能です。

所有者のみ読取可能のパーミッション以外のファイルは全て閲覧可能です。

また、Awstatsでは、.htaccessで制限しようがしまいが、インクルードすればアクセス

解析の結果が読み取り可能です。
記事編集 編集
Re: 自宅サーバーでホスティングしている方へ このメッセージに返信する
日時: 2010/02/26 10:17
名前: stranger
URL: http://ja.528p.com/
自宅サーバーでホスティングしている人でしたね

他人にかしていないので、返答は控えます
すみません
記事編集 編集
Re: 自宅サーバーでホスティングしている方へ このメッセージに返信する
日時: 2010/02/26 12:48
名前: 初心者ユーザー
URL:
>>strangerさん

ご回答有難うございます。
投稿名は変えておりますが、他のスレッドでもstrangerさんには大変お世話になっております。

ただ、現状はホスティングは行っておらず、これから行おうと日々構築している最中です。

構築に既に5ヶ月以上要しておりますが、最低限のセキュリティを確保したいと考え、投稿させ

て頂きました。

>>自宅サーバーでホスティングしている方、または対処法をご存知の方へ

phpであれ、cgiであれ、ユーザーが作成したプログラムでホームディレクトリ

以外に移動できないようにするには、mod_chroot等が有効なのでしょうか?

どなたか、アドバイスをお願い致します。
記事編集 編集
Re: 自宅サーバーでホスティングしている方へ このメッセージに返信する
日時: 2010/02/26 22:18
名前: lental
URL:
別々の場所で投稿しているので、ユーザー名は違いますが、ご容赦下さい。

とりあえず家に帰ってきたのでmod_chrootをインストールしてみました。

wget http://core.segfault.pl/~hobbit/mod_chroot/dist/mod_chroot-0.5.tar.gz
tar -xzvf mod_chroot-0.5.tar.gz
cd mod_chroot-0.5
apxs -cia mod_chroot.c

とすると、/etc/httpd/conf/httpd.confに

 LoadModule chroot_module /usr/lib64/httpd/modules/mod_chroot.so
 
 が追加されていましたので、インストールは成功したかと思います。

 設定方法がいまいち理解できません。公式サイト以外に解説されているサイト

 か、もしくは設定の方法をご存じの方はいらっしゃいますでしょうか?

 そもそも、mod_chrootでユーザーの/home/Username/public_html/下に配置された

 プログラムが、ホームディレクトリ以外を参照できないようにできるのでしょうか。

 現在の環境はsuExecとsuPHPの環境下です。

 ずいぶん手前勝手な質問とは承知しておりますが、ご回答いただければ幸いです。
記事編集 編集
Re: 自宅サーバーでホスティングしている方へ このメッセージに返信する
日時: 2010/02/28 17:24
名前: lental
URL:
インストール後、mod_chrootのドキュメントがあまりにも少ないので、
設定の仕方が分りません。

検索してみたところ「Apache セキュリティ」という書籍のインデックスに

mod_chrootにかんするインデックスが存在したので、後先考えずにとりあえず

購入して読んでみました。

結果的にはmod_chrootの受け取るパラメータは、ChrootDirのみと書いてあった

ので、早速/etc/httpd/conf/httpd.confにChrootDir /var/wwwと記述してみた

所、503 Service Temporarily Unavailable とのエラー。

そもそも、mod_chrootを導入する事によって、/home/user/public_html/配下に

設置されたPHPやCGIのプログラムが/home/user以上のディレクトリにアクセスでき

ないようにすることは可能なのでしょうか?
記事編集 編集
Re: 自宅サーバーでホスティングしている方へ このメッセージに返信する
日時: 2010/03/01 22:45
名前: lental
URL:
ずいぶん身勝手なスレッドにしてしまいましたので、趣旨をはっきりさせた
スレッドを立てさせて頂きたいので、このスレッドは終了とさせて頂きます。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -