logファイルのファイル名と拡張子について・・・

皆さんにお聞きしたいことがあるのですが。

よくサーバーなどの仕様によって、logファイルなどを直接指定するとそのまま閲覧が出来てしまうことがあるのですが、これらを防ぐ方法としてよく耳にするのが、分かりにくいファイル名にするとか、拡張子を.cgiなどに変えることによって閲覧は出来なくなるとの事ですが本当でしょうか？

また、ファイル名と拡張子の変更で、どのくらいのセキュリティーがあるのでしょうか？

やはり最善は、非公開領域にlogが来るようにするのがベストなのでしょうか？更に更にで申し訳ないのですが、非公開領域においた場合と、ファイル名拡張子を変更した場合と、公開領域のlogフォルダに認証を書けた場合と何が一番望ましいのですか？

変な質問で申し訳ないのですが、詳しい方おられましたら、教えていただけたら幸いです。

宜しくお願いいたします。

No.2 ベストアンサー 回答者： angband 回答日時： 2005/09/17 14:25

以下はWEBのユーザーを前提とした話です。

>どのくらいのセキュリティーがあるのでしょうか？
ファイル名と拡張子を変えても httpd.conf が見れたり、ディレクトリ自体に
アクセス許可されていると、ちょっと知識のあるユーザーには無意味です。

質問の回答にはなりませんが、「特定のユーザー群に特定のファイル群を
見せないようにしたい」ならば、いくつか方法があります。
基本的にはログは見られても問題ありませんが、これを禁止するには
昔ながらのユーザーとグループのパーミッションだけでは、かなり複雑な
ことをしないといけなくなり、お勧めできません。

１、WEBサーバで制限する
apacheでsuexecを使う。suexecで各ユーザーのログをホームディレクトリに
配置して、お互いはホームにアクセスできないようにしておく。これはよく
無料ホスティングなどで利用される方法ですね。

２、OSレベルで制限する
SecureLinux(Linuxカーネル2.6から)や、FreeBSD5などの比較的新しい
OSではACL(アクセスコントロールリスト）という機能がサポートされています。
ファイルのアクセスもきめ細かく制御できます。ログ閲覧禁止ももちろん可能。

結局、WEBのログ閲覧を完全禁止したいのか、条件付で一部見せたいのか、
などによって対応は違ってきますね。

この回答へのお礼

angbandさん貴重なご意見有難うございます。

なるほど！知識のあるユーザーからすると、ファイル名や拡張子を変えるぐらいでは無意味と考えた方が酔うのですね。

私の説明があいまいなので、目的を明確化したいと思います。例えばlogなどに個人情報などが記載されている場合、絶対に他人に閲覧されてはいけないと思うので、「絶対閲覧不可」と言う前提でお聞きします。

この場合、どういった手段があるのでしょうか？

もう少し具体的な対策法がお聞きできたら幸いです。

宜しくお願いいたします。

お礼日時：2005/09/17 18:06

No.3 回答者： parapa 回答日時： 2005/09/17 19:11

自分はCGIを作るときはログファイルは

.cgiにしています。
簡単に言うと.cgiとすることによって
Apacheの設定もからみますが
.cgiの拡張子をcgiと認識するようにって
設定があります。
ですのでログファイルを.cgiにすることによって
そのファイルを直接指定すると
ApacheはそのファイルはCGIと解釈して実行しようとします。
ですが、そのファイルは実際にはCGIでないので
実行できなくてエラーとなりそのログファイルを
見ることができないって原理です。
見ることができないって

No.1 回答者： mendokusa 回答日時： 2005/09/17 14:13

見られては困るのであれば非公開領域におくのがベストですね。

拡張子変えただけでもまず大丈夫だとは思いますが。
認証はイマイチ。

この回答へのお礼

mendokusaさんありがとうございます。

やはり非公開領域が安全なんですね！
拡張子を変えただけでも結構な強度があると言うことでしょうか？

認証がいまいちと言うのは驚きです？！

お礼日時：2005/09/17 14:18