No.12 セキュリティを考えてみよう3
(AN HTTP Serverのセキュリティ強化!)

2001,7/15 新設
2001,7/22 追加
2001,8/04 追加
(王龍さんのコメント追加)

1.果てがないぞセキュリティ

No.8でルーターによるNAT・フィルターの設定、ウィルスバスター200の導入1、共有接続のパスワード設定を行い、
No.11でZoneAlarmの導入を行い、セキュリティはこれで一安心( (^_^) )と思っていたのですが、それはそれは大きな間違いだったのです。
このホームページの掲示板をご覧になっている方はご存知だと思いますが、いくらフィルターをかけてもファイアーウォールを
構築しても、wwwサーバーを立ち上げる以上、ポート80番は外部に対して開くしかないのです。
すなわち、wwwサーバーの設定(私の場合はAN HTTPD)やCGIの設定をきちんと行わないとセキュリティなんてあってなきが如し
だということが王龍さんのご指摘でわかったのです。(王龍さん、ほんとうにありがとうございました。)


2.まずは、すぐ出来ること!
何はともあれやれることはすぐやりました。

 ■ Microsoftネットワーク共有サービスを外すべし!
   これまでネットワーク共有サービスを使っていましたが、サーバーの進入も有り得る、と考えたらやっぱ外した方がいいですね。
   かなり不便になるが仕方がない。
   (「最初から外しとけーーー!」という声が聞こえてきそうです。 (T_T) )

 ■ AN HTTPDを最新版にアップデート
   本家中田さんのところでやっぱこまめにバージョンアップしましょう。
   (これも「当たり前やないけーー!」と突っ込みが入りそう。。。。すんまへん、私が悪うございました。)

 ※ 未知のバグへの警戒のため、公開後すくなくとも4日ぐらいは静観していたほうがいいと思いますよ。(王龍さん談 2001,8/04追加)

 ■ Windowsのアップデートの実施(2001,7/22追加)
   Windowsの”スタート→Windows UPdate”を推すとマイクロソフトのサイトのWindows UPdataのサイトへ飛びます。
   そこで”製品の更新”を押すと今使っているOSでのアップデート情報の一覧が出るのでセキュリティ関係のアップデート
   を行う” 重要な更新パッケージ”をチェックして実行します。

 ※ ついでに使っているブラウザのセキュリティーも忘れずに(^^)。オススメはIE5.01SP2です。
   5.5は危険なのでオススメはできません。(王龍さん談 2001,8/04追加)


3.AN HTTPDの設定を見なおそう!

ということでまじめにAN HTTPDの設定を学ぶべく色々なサイトをさ迷い歩いたのでした。

AN HTTP Server Home Page
のなかの、
AN HTTP Server Security 本家本元のセキュリティ情報。
ここは最初に見ましょう。
いとのページのなかの、 AN HTTPD のセキュリティ対策 主にAN HTTPDの[一般タブ]の設定上の注意事項が書いてあります。
・Perlをドキュメントルートの下にインストールしない
・SSIを使用しないなら、「SSIを許可する」にはチェックしない
など、とても具体的でわかりやすいです。
AN HTTPD オプション設定のデフォルト値 画面が左右に分割されて、右の設定画面のタブを触ると右にその
タブのページの説明が出てくるという優れもの。
これは勉強になります
AN HTTPDオプション設定
− 無闇に設定変更してはいけない −
AN HTTPDオプション設定の標準例が出ています。
主に「一般タブ」の説明が中心で、
・バーチャルホスト 通常の使い方ではチェックする必要は全くない。
等、具体的な例が書かれているのでわかりやすいです。
過去ログ−分類版(1/2)−
過去ログ−分類版(2/2)−
ここのセキュリティの項目他、役に立つ情報満載です
最初からまじめに読んでおけばよかったっス。
あ、パーミッションが設定できない(Windowsのせい)ことも出てる。
AN HTTPDゲストブック/コメント集 全文検索 ここで”セキュリティ”と検索するだけでこれだけ出てきます。
すばらしい!
SUPER LABORATORY
のなかの、
AN HTTP Server について インストールから設定方法、使い方まで一通りコメントされています。
CGIやSSIの使い方、プロクシの設定方法もあります。
わからない単語は下のウィンドウにHELPが出て来たりして
これも便利。
Foolhardy's Ranchのなかの、 AN HTTPD インストールから設定方法、使い方まで一通りコメントされています。


これらのページを見ながらカットアンドトライでAN HTTPDの設定を変えていったのでした。
また、自分なりに考えてあーでもない、こーでもないといじったもののそれで本当にセキュリティが向上したのか???
いまいち実感がわかないのでした。
そういう意味ではまだ設定変更途上です。


4.ホームページを格納するドライブを変えよう(これから、)

少しでも安全性を高めるためにドキュメントルートを別ドライブに持っていく予定・・・・です(No.13参照)。


ということでセキュリティ向上のためにやることは、まだまだまだまだまだまだやることはありそうです。


←戻る  進む→
ホームに戻る