-
Notifications
You must be signed in to change notification settings - Fork 79
/
Copy pathapache.xml
71 lines (69 loc) · 3.92 KB
/
apache.xml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
<?xml version="1.0" encoding="utf-8"?>
<!-- $Revision$ -->
<!-- EN-Revision: ab6785b01ce1006e3a9761988575289f40c9b678 Maintainer: shimooka Status: ready -->
<!-- CREDITS: hirokawa -->
<chapter xml:id="security.apache" xmlns="http://docbook.org/ns/docbook">
<title>Apache モジュールとしてインストール</title>
<simpara>
<acronym>PHP</acronym> が Apache モジュールとして使用された場合、<acronym>PHP</acronym> は、Apache ユー
ザーの許可属性(通常はユーザー "nobody" の許可属性)を継承します。
これは、セキュリティと認証に数々の影響を与えます。例えば、データベー
スと接続するために<acronym>PHP</acronym>を使用している場合、データベースが組込みのア
クセス制御機能を有していない限り、そのデータベースを "nobody"ユー
ザからアクセス可能とする必要が生じます。これは、悪意のあるスクリプ
トが、ユーザー名とパスワードなしにデータベースにアクセスし、修正する
ことができることを意味します。Webスパイダがデータベース管理用Webペー
ジを回って、データベースを全て削除することも可能です。Apache認証に
よりこの攻撃に対して防衛することが可能であり、また、LDAPや
.htaccessファイル等を使用して固有のアクセスモデルを設計し、<acronym>PHP</acronym>スク
リプトの一部としてそのコードを読み込むことも可能です。
</simpara>
<simpara>
しばしば、<acronym>PHP</acronym>ユーザー(この場合はApacheユーザー)が非常に小さなリスクを
有する場所に一度セキュリティが確立されると、<acronym>PHP</acronym>はユーザーディレクト
リにウイルスファイルを書き込んだりすることができなくなります。もし
くは、データベースにアクセスしたり変更したりといったことが出来なく
なります。この場合、良いファイルおよび悪いファイルの書き込み、また
は、良いデータベーストランザクションと悪いデータベーストランザクシ
ョンに関して等しく安全性が確保されていると言えます。
</simpara>
<simpara>
この観点からしばしば行われるセキュリティ上の失敗としてApacheにルー
ト権限を与えたり、他の何らかの手段でApacheの権限を昇格させるという
ものがあります。
</simpara>
<simpara>
Apacheユーザーの権限をルートに昇格させることは非常に危険であり、シ
ステム全体を危険にさらす可能性があります。よって、sudoやchrootの実
行、ルート権限で実行を行う他の手段は、セキュリティに精通した人以外
は、考慮するべきではありません。
</simpara>
<simpara>
いくつかのより簡単な解決策があります。<link
linkend="ini.open-basedir">open_basedir</link> を使用することによ
り、<acronym>PHP</acronym>に使用を許可するディレクトリを制御したり制限したりすること
が可能です。また、全てのWebベースの作業をユーザーファイル、システム
ファイル以外のファイルに制限するために、Apache専用エリアを設定する
ことも可能です。
</simpara>
</chapter>
<!-- Keep this comment at the end of the file
Local variables:
mode: sgml
sgml-omittag:t
sgml-shorttag:t
sgml-minimize-attributes:nil
sgml-always-quote-attributes:t
sgml-indent-step:1
sgml-indent-data:t
indent-tabs-mode:nil
sgml-parent-document:nil
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
sgml-exposed-tags:nil
sgml-local-catalogs:nil
sgml-local-ecat-files:nil
End:
vim600: syn=xml fen fdm=syntax fdl=2 si
vim: et tw=78 syn=sgml
vi: ts=1 sw=1
-->