SREチーム エンジニアの阿久津です。 今回はApacheの403 Forbiddenが表示された時のチェックポイントについて記事にしたいと思います。 環境 Vagrant 1.9.5 CentOS Linux release 7.1.1503 (Core) Apache 2.4.6 前提 設定ファイル /etc/httpd/conf/httpd.conf DocumentRoot /var/hoge テストページ /var/hoge/index.html 事象 テストページを表示しようとすると403 Forbiddenが表示される。 ①Apacheの再起動をしていない 設定ファイルを変更した場合、Apacheを再起動しないと変更が反映されません。 そのため再起動していない場合は、実施します。 ■再起動 $ sudo systemctl restart httpd.service ■リロー
渡辺です。 このところのマイブームはAnsibleです。 serverspecも利用したりして、汎用Roleを作りメンテすることが楽しい日々です。 さて、今回はAnsibeのRoleのチュートリアルとしてみました。 AmazonLinuxのサーバにApache2.4をインストールし、confファイルをセットアップする手順を紹介します。 Step1 Apacheをインストールし、サービスを有効化する はじめにApacheのセットアップを行うためのRoleを作成します。 コマンドで実行するのであれば、次のようなフローです。 $ sudo yum -y install httpd24 $ sudo chkconfig httpd on $ sudo service httpd start これをRole「apache24」として定義していきましょう。 はじめにディレクトリroles/apache
In ansible, I can do this: file: dest=/foo/bar/somedir owner=root group=apache mode=0775 recurse=yes And it recursively sets the owner, group, and permissions to 0775 on all directories and files in that path. But I want to set directories to 0775, and files to 0664. Is there some way to make ansible do this?
web サーバが攻撃を受けて httpd プロセスが落ちてしまいました。 わたしが運用している web サーバが攻撃を受けて httpd プロセスが落ちてしまった可能 性がありまして,詳しいことを教えてくださる方,よろしくお願いします。 文字数制限により,状況の詳細に関しては別途投稿します。 知りたいことは以下です。 ・「ココを見なさい」 というアドバイス ・攻撃の手法 ・攻撃が httpd に具体的にどのような影響を与えたため, httpd が落ちたのか 例: - 攻撃により CPU/メモリリソースを圧迫したため, httpd が落ちた - /var/log/secure に残っている攻撃 (sshd に対する攻撃) とは別に, httpd の脆弱性に対して攻撃を受けたため, httpd が落ちた ・対策 ・あるいは, httpd が落ちたほかの原因の可能性
主に、オープンソースカンファレンス2014 Tokyo/Spring Apacheコミッターが見た Apache vs nginx http://openstandia.jp/pdf/140228_osc_seminar_ssof8.pdf より webサーバ仕組み – ざっくりリクエストに対して、レスポンスを返却する apache – マルチプロセス、マルチスレッドアーキテクチャ-マルチプロセス、スレッドの場合、1つのプロセスまたはスレッドがこれを処理する。そのため、1アクセスを処理している間は他のアクセスを処理できず、同時接続数分だけプロセスまたはスレッドが必要となる マルチプロセス、マルチスレッドの違いマルチプロセスはメモリ空間を個別に持つが、マルチスレッドはメモリ空間を共有する メモリの使用効率が高く、プロセス切り替え時にメモリ空間の切り替えが発生しないためコストが低くなる マルチ
先日に書いた CGI版PHPへのApache Magica攻撃の観察 の記事ですが、さくらのVPSに来ているアクセスを追っていると、この攻撃はここ1週間ほど猛烈な勢いで行われているようです。 どうも日本国内でもかなりの数のサーバが攻撃を受けてボット化している気がする(というか、気がするんじゃなくて事実しているはず)ため、ここでちょっとした注意喚起をしてみたいと思います。というかこの攻撃、名前付いてないんでしょうかね。本当に魔法少女アパッチ☆マギカ攻撃でいいんだろうか?(CGI版PHPに対する魔法少女アパッチマギカ攻撃を観測しました | 徳丸浩の日記) 確認が必要な対象者 CGI版PHPをインストールしてインターネットに公開しているWebサーバ管理者です。ここで注意しないといけないのは、CGI版PHPはインストールしているつもりが無くても入ってしまっている場合が多々あるということです。そのた
元ネタはこちら。 Apache AddHandler madness all over the place Gentoo Bug 538822 どういうことか 次のような指定は危険である。 AddHandler php5-script .php この時に指定される.phpはファイル名の末尾である必要はない。例えば、 aaa.php.html bbb.php.pngなどもphp5-scriptとして解釈されてしまうのだ。これは.XXX.YYYと複数の拡張子が書かれた場合、.XXXと.YYYもAddHandlerの対象となることが原因。 ちなみに次のような場合にはphp5-scriptとして解釈されない。 ccc.php_foo (.php_fooとして解釈されるため) ddd.php_bar.html (.php_barと.htmlとして解釈されるため)実はこのことはApacheのドキュメン
なんか謎のアクセスログが落ちてた mx2.mail2000.com.tw:25 ちょっと意味不明な上に 謎なエラー吐く始末だったのでちょっと調べてみた どうやらこれは、 SMTP接続の踏み台にするためのアクセスらしい。 というわけで不正アクセスなのでぶった切っておk さらに、CONNECTメソッドは プロキシサーバー経由での通信するときに使うものらしい 当然そんなの受け入れる理由ないので、こいつを拒否する 以下にconfファイルを作成する /etc/httpd/conf.d/ LimitExceptディレクてティブ使うと アクセスを制御できる。 <Location /> <LimitExcept HEAD POST GET> Deny from all </LimitExcept> </Location> これでCONNECTメソッドは拒否できるようになりました また、TRACEメソッドも
この日本語訳はすでに古くなっている 可能性があります。 最近更新された内容を見るには英語版をご覧下さい。 名前ベースと IP ベースのバーチャルホストの比較 IP ベースのバーチャルホストでは、応答する バーチャルホストへのコネクションを決定するために IP アドレスを使用します。ですから、それぞれのホストに個々に IP アドレスが必要になります。これに対して名前ベースのバーチャルホストでは、 クライアントが HTTP ヘッダの一部としてホスト名を告げる、 ということに依存します。この技術で同一 IP アドレスを異なる多数のホストで共有しています。 名前ベースのバーチャルホストは通常単純で、それぞれのホスト名と それに対応する正確な IP アドレスを DNS で設定し、異なる ホスト名を区別するように Apache HTTP サーバを設定するだけです。 さらに、名前ベースのバーチャルホスト
Webサーバの負荷を軽減する方法として、リバースプロキシによる代行とロードバランサによる分散が考えられる。今回は、これらによる負荷の低減方法について解説する。(編集部) Apache自体のチューニングによる性能向上には限界があります。よりパフォーマンスを求めるなら、次にやるべきことはメモリの追加や高性能なCPUへの交換など、ハードウェアの見直しです。しかし、それにも限界があります。 リバースプロキシとロードバランサ ハードウェア単体による性能向上が限界に達した場合は、サーバ構成の見直しを行います。まず考えられるのが、リバースプロキシをWebサーバの前面に立ててクライアントからのアクセスを肩代わりさせる方法です。Webサーバがボトルネックになるのを防ぐとともに、セキュリティ向上にも寄与します。 もう1つの方法は、より高可用性を意図した構成として負荷の分散を図ることです。高可用性とは、サーバの
リバースプロキシ/ロードバランサ配下のApache HTTP Server(以降、単にhttpdと記す)ではmod_rpafというモジュールを使用すると、アクセス元のIPアドレスを正しく取得して、そのIPアドレスでログに出力したり、アクセス制御を行ったりすることができるようになります。 今回の記事の前半ではこのmod_rpafについてインストール方法や設定方法について説明します。 後半ではmod_rpafを使ってもアクセス制御ができない問題が発生して、それを解決した経緯などを紹介します。具体的にはロードバランサとしてAmazon Elastic Load Balancingを、プロキシサーバとしてnginxを、バックエンドサーバとしてAmazon Linux 2011.09のhttpdを使ったときにアクセス元IPアドレスによるアクセス制御がうまくできない問題が発生しました。このあたりにご興
本連載も第6回を迎えましたが、第5回まではどちらかというとRedmineの業務機能面をメインに紹介してきました。今回からはシステム運用担当者向けに、Redmineを題材としてRuby on Railsアプリケーションをどうシステム運用・構築するかといった部分に観点を向け、役立つ情報をご紹介したいと思います。 とはいっても、システム運用という言葉は非常に広義で、本格的に行おうとすると様々な観点がありますが、今回は主にパフォーマンス(性能)向上に話を絞って進めたいと思います。 Redmineをより良いパフォーマンスで動かすためには Redmineを開発プロジェクト等で利用される方も多いかと思います。 特にRedmineは複数プロジェクトに対応したバグトラッキングツールですので、使い方によっては数多くのユーザからアクセスされるシステムとなります。 なので、個人用途で使う場合はそれほど気にしなくて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く