Apache2.4 PHP7等ミドルウェア各種対応

下記ミドルウェアの取扱が可能になりました。
以下は CentOS7 はもちろん、CentOS6 においてもインストール/設定が可能です。
(現使用環境の条件によってはできない場合があります)

・Apache 2.4
(Prefork / Worker / Event ともに可)

・PHP 7
(mod_php / php-fpm ともに可)

・MySQL 5.6
(旧バージョンからのアップデートではデータベースが引き継げないことがあります)

mod_dosdetector でDoS攻撃を503 ビジーにする方法

WebサイトへのDoS攻撃に対処するため mod_dosdetector-fork をインストールしてみたけど、RewriteRule で 503 に飛ばせないとお嘆きの諸氏に。

■ mod_dosdetector-fork インストール

(1) ビルド環境などの準備

yum -y install make gcc gcc-c++
yum -y install unzip
yum -y install httpd-devel
yum -y install git

(2) Apache2.2環境にインストール

Apache 2.2で使用したい場合は maint-1.0.0 を入れる。

cd /usr/local/src
wget https://codeload.github.com/tkyk/mod_dosdetector-fork/zip/maint-1.0.0
mv maint-1.0.0 mod_dosdetector-fork-maint-1.0.0.zip
unzip mod_dosdetector-fork-maint-1.0.0.zip
cd mod_dosdetector-fork-maint-1.0.0

make
make install

(3) Apache2.4環境にインストール

Apache 2.4で使用したい場合は git で最新を入れる。

cd /usr/local/src
git clone git://github.com/tkyk/mod_dosdetector-fork.git
cd mod_dosdetector-fork

make
make install

続きを読む

Apache 2.4 LocationでBasic認証

ちょっとした小ネタです。

例えば phpPgAdmin.conf がこんなふうになってるとき、

Alias /phpPgAdmin /usr/share/phpPgAdmin

<Location /phpPgAdmin>
    <IfModule mod_authz_core.c>
        # Apache 2.4
        Require all granted
    </IfModule>
</Location>

この場所に .htaccess を置いてBasic認証書いても効きません。
それは、Location の “Require all granted” が優先だから。

そんなときは、Location を Directory に変更すれば、.htaccess が優先されます。

Alias /phpPgAdmin /usr/share/phpPgAdmin

<Directory /usr/share/phpPgAdmin>
    <IfModule mod_authz_core.c>
        # Apache 2.4
        Require all granted
    </IfModule>
</Directory>

BINDのDNAME脆弱性対策 (CVE-2016-8864)

先日明らかにされたセキュリティアラート: CVE-2016-8864
BIND の DNAME レコードを含む応答パケットの処理の脆弱性に関する対策実施について

原文はこちら
CVE-2016-8864(英文)
https://kb.isc.org/article/AA-01434

JVNVU#92683474
BIND の DNAME レコードを含む応答パケットの処理に脆弱性
http://jvn.jp/vu/JVNVU92683474/index.html

本件の問題点と対策は以下の通りです。

続きを読む

MySQL5.6 インストールと初期設定(CentOS 6)

CentOS 6 に MySQL5.6 を yum でインストールする方法を紹介します。

■ MySQL5.6インストール (MySQL Community版)

yum で rpmパッケージをインストールするには標準のリポジトリでなく mysql-community を使います。

mysql-community リポジトリをまだ入れていない場合は入れておきます。

# yum -y install http://dev.mysql.com/get/mysql-community-release-el6-5.noarch.rpm

※もしMySQL5.5をインストールしたい場合はリポジトリを切り替えます。

/etc/yum.repos.d/mysql-community.repo

[mysql55-community]
name=MySQL 5.5 Community Server
baseurl=http://repo.mysql.com/yum/mysql-5.5-community/el/6/$basearch/
enabled=1 <こっちを 1 に
.
.
[mysql56-community]
name=MySQL 5.6 Community Server
baseurl=http://repo.mysql.com/yum/mysql-5.6-community/el/6/$basearch/
enabled=0 <こっちを 0 に
.
.

続きを読む

Apache2.4 インストールと設定(CentOS 6)

CentOS 6 に Apache2.4 PHP 5.6 を yum でインストールする方法を紹介します。

■ Apache2.4インストール (IUS版)

(1) 外部リポジトリIUSを使用

リポジトリIUSからインストール可能です。

# rpm -Uvh https://dl.iuscommunity.org/pub/ius/stable/CentOS/6/x86_64/ius-release-1.0-14.ius.centos6.noarch.rpm

(2) Apache2.4インストール

リポジトリIUSを使用するとパッケージ名が違います。
httpd は httpd24u、mod_ssl は mod24u_ssl です。

# yum install httpd24u mod24u_ssl

httpdの自動起動(CentOS 6)

# chkconfig httpd on

続きを読む

glibc バッファオーバーフロー脆弱性対策 (CVE-2015-7547)

先日明らかにされたセキュリティアラート: CVE-2015-7547
glibc バッファオーバーフロー脆弱性に関する対策実施について

原文はこちら
CVE-2015-7547(英文)
https://sourceware.org/bugzilla/show_bug.cgi?id=18665

JVNVU#97236594
glibc にバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU97236594/

本件の問題点と対策は以下の通りです。

続きを読む

Webサーバーの同時接続数と Google Analytics セッション数(訪問数)の違い

Webサーバーの同時接続数と Google Analytics セッション数(訪問数)の違いについて書きます。

■ Webサーバーの同時接続数とは

Webサーバー(Apache や Nginx)の同時接続数とは、同時アクセス数と言い換えてもいいですが、その言葉の通り Webサーバーに同時に接続しているブラウザ数(=ユーザー数)です。
これは表示されたページを眺めている人の数でなく、今まさにページを読み込んで表示している人の数です。

この数値はサーバーの負荷分析と必要十分なスペックを考察する上で非常に重要な値です。
同時接続数がいくらの時にサーバーのロードアベレージがいくらかはだいたい比例します。
サーバーがアクセスピーク時に瞬間的にどれだけの負荷に耐えられるかを決めるのは、瞬間的にどれだけの同時接続数をさばけるかにかかっています。

Webサイト運営の指標に1日のトータルのページビューや Google Analytics のセッション数やリアルタイムのアクティブユーザー数がありますが、これはWebサイト運営に必要なサーバースペックを決める観点からは参考程度にしかならず、本当に必要なデータは同時接続数です。

続きを読む

OpenSSL 証明書チェーン検証不備の脆弱性について (CVE-2015-1793)

先日明らかにされたセキュリティアラート: CVE-2015-1793
OpenSSL: Alternative chains certificate forgery
OpenSSLの証明書チェーンの検証不備の脆弱性について

OpenSSLプロジェクトによる Security Advisory [9 Jul 2015]
https://www.openssl.org/news/secadv_20150709.txt

本件の問題点と対策は以下の通りです。
続きを読む

glibc バッファオーバーフロー脆弱性対策 (CVE-2015-0235)

先日明らかにされたセキュリティアラート: CVE-2015-0235
glibc バッファオーバーフロー脆弱性に関する対策実施について

原文はこちら
CVE-2015-0235(英文)
https://access.redhat.com/security/cve/CVE-2015-0235

JVNVU#99234709
glibc ライブラリにバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU99234709/

本件の問題点と対策は以下の通りです。

続きを読む