ウォッチ
centos6.10 apache2.2の環境でウェブサイトを公開していますが、ログをみると、URLではなくIPアドレス直打によるアクセスが多く、その殆どは、Botによる脆弱性等を狙ったもののようです。そこで、リソース的セキュリティ的な観点から、IP直打によるアクセスを、403エラー等にしたいと考えています。
既にバーチャルホストがhttpd.confで設定されている状態で運用していますが、httpd.confの仕様、すなわち、「指定した名前以外でアクセスされた場合、ひとつめに設定したバーチャルホストがデフォルトで使用される」という仕様を利用し、このIPアドレスによるアクセスを禁止を実現しようとしているのですが、様々な記述方法を試しています。しかし、予め設定してあるバーチャルホストのURLでアクセスした場合でも、403等のエラーになってしまい困っています。
記述は以下の通りですが、問題があるかどうかアドバイスいただければ幸いです。
あるいは、httpd.conf以外で、IPアドレス直打によるhttp/httpsアクセスを禁止する方法があれば、それも知りたいと考えています。
httpd.conf 設定例
#仮のURL:good.co.jp
ーー正しくhttp/httpsアクセスできる元々の設定ーーー
NameVirtualHost *:80
<VirtualHost *:80>
DocumentRoot /var/www/html
ServerName good.co.jp
</VirtualHost>
ーー正しくhttp/httpsアクセスできる元々の設定ーーー
ーーgood.co.jpもがエラーになってしまう設定ーー
#以下すべて上述の
#NameVirtualHost *:80
#の直後に記述
その1
<VirtualHost *:80>
ServerName any
<Location />
Order deny,allow
Deny from all
</Location>
</VirtualHost>
その2
<VirtualHost *:80>
ServerName any
Redirect 403 /
ErrorLog /dev/null
CustomLog /dev/null combined env=0
</VirtualHost>
その3
<VirtualHost *:80>
DocumentRoot /var/www/html/dumy
ServerName dumy.co.jp
</VirtualHost>
ーーgood.co.jpもがエラーになってしまう設定ーー
どうぞよろしくお願いいたします。
No.2ベストアンサー
- 回答日時:
やりたいことを理解できていないかもしれませんが...
>リソースを使うのがもったいない
403にリダイレクトさせることができたとしてもリダイレクトする時点でリソース使いますけど、それは構わないんでしょうか?
>ありとあらゆるディレクトリを試行し、脆弱性探してファイルをPOSTしようとしてくるので、できればIPアドレス直打のhttp/httpsアクセスを一切拒否できればと考えています
それらの試行に対しては何を返しているのでしょう。
400系にしろ500系にしろ、いずれにしてもhttpdプロセスを1つ使ってその分のメモリやCPUを使うのに変わりないのではないと思いますが。
もしそれを遮断したいのであれば、httpdの前(FWなりWAFなり)でやるしかないのでは?
F-Secureサーバセキュリティなどでもできたような気がしますが。
-
-
- 1
- 件
-
ありがとうございます。
ご回答を頂き少し自分の中での切り分けが進みました。
まず、リソースと言うのは少し曖昧な表現でしたが、この場合 httpdプロセスというよりも、ログを見る人的リソースというか、
自動的にシステムから送られてくる、通信遮断報告メールを確認するための、リソースというような意味でした。
なお、今回のケースで怪しい通信の遮断を行い、遮断報告を送ってくるのは、WAFです。
つまり、現在は、apacheより前段に位置しているWAFが、怪しい通信(WAFのパターンファイルに引っかかった通信)をすべて遮断している状態で、その殆どがIP直打で適当なディレクトリにアクセスを試みるBotです。
ですから、今回私がやりたいこと、すなわち、IP直打の通信の拒否は、httpdの設定でどうにかできることではなく、WAFの設定、あるいはiptabelsの設定で処理すべき事柄だということがわかりました。
iptabelsでIP直打の通信を遮断できるのかどうかはわかりませんが、WAFの方はサポートがあるので、質問を投げてみる予定です。
No.1
- 回答日時:
最近多数のVirtualHostを設定した状態のhttpdを運営していないのでもしかしたら仕様が変わっているかもしれませんが。
<VirtualHost *:80>
ServerName any
</VirtualHost>
これいらないと思います。
名前解決していないとアクセスさせたくないサイトはすべてVirtualHostでServerNameで指定しておけば、それ以外のIP直打ちのアクセスはhttpd.confの基本設定のサイト(VirtualHostではない設定のサイト)に行くはずです。
その上で、すべてのパスのアクセスを403にmod_rewriteで飛ばせばできませんかね。
-
-
- 0
- 件
-
ありがとうございます。
<VirtualHost *:80>
ServerName any
</VirtualHost>
等の記述なし,
つまり、
<VirtualHost *:80>
ServerName good.co.jp
</VirtualHost>
のみの設定だと、やはり、IPアドレス直打で、大量のBOT閲覧があります。
それらはWAFですべて防いでいますが、リソースを使うのがもったいないのと、ありとあらゆるディレクトリを試行し、脆弱性探してファイルをPOSTしようとしてくるので、できればIPアドレス直打のhttp/httpsアクセスを一切拒否できればと考えています。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
BiND up サーバーにアップできない
-
ウェブページへのアクセス不可 ...
-
discordで、ミュートが勝手に解...
-
Microsoft Edgeでページが開け...
-
PC Cleaner
-
有線LAN のセキュリティについて
-
eo光のマカフィーマルチアクセス
-
iiyama ProLite XUB2390HSの起...
-
httpをhttpsにしたい
-
Thunderbird 証明書について
-
ネットワークについて。特定のI...
-
パスキーについて
-
教えて!gooのその他の回答が見...
-
NAT変換機器を返したpingコマン...
-
ネットの一部に繋がらなくなり...
-
NURO光 Wi-Fi 大丈夫?
-
Googleサイトに急にアクセス出...
-
https://manuall.jp/で説明書
-
家庭内LANの特定端末へアクセス...
-
Googleの広告
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
httpd IPアドレスによるアクセ...
-
macX、ローカル環境:ブラウザ...
-
DOS攻撃、DDOS攻撃の対策方法
-
初めてHPを作りましたがエラー4...
-
ftpでのシンボリックリンク先へ...
-
ディスプレイが白黒、ネガ、状...
-
プロキシーの例外設定に付いて
-
Apacheでphpが急に動かなくなった
-
Filevaultの解除ができない(ア...
-
ガイドのような黒い四角い囲み...
-
apacheのVirtualHostの記述につ...
-
サーバ証明書(オレオレ証明書)...
-
ApacheとTomcatの連携が出来ない
-
MACで、いらない黒枠が消えませ...
-
Digest 認証 401 Error
-
httpアクセスでNot Found
-
Mac の Apache について
-
CentOSサーバーにグローバルIP...
-
webDAVの設定
-
windows11 サービスにSecurity ...
おすすめ情報
続けてご回答くださり感謝いたします。apacheの設定以外で実現すべきという方向性が見えましたので、ベストアンサーにさせていただくと共に、本件閉じさせていただきます。ありがとうございました。