UnixPower on Networking
  http://www.unix-power.net/

 
 Top - Linux - CentOS7 Apacheの基本設定




■Webサーバ Apache


世界で最大のシェアを誇るApacheをインストールします。まずyumでapacheをインストールします。


# yum install httpd
# rpm -qa | grep httpd
httpd-2.4.6-18.el7.centos.x86_64
httpd-tools-2.4.6-18.el7.centos.x86_64


設定ファイル ( /etc/httpd/conf/httpd.conf ) を編集します。以下は編集した部分のみ記載しています。


ServerAdmin webmaster@unix-power.net
ServerName www.unix-power.net:80

# ドキュメントルートの指定とCGIやhtaccessの有効化
DocumentRoot "/var/www/html"
<Directory "/var/www/html">
    Options ExecCGI
    AllowOverride FileInfo AuthConfig Limit
    Order allow,deny
    Require all granted
</Directory>

# URL省略時にアクセスするファイルを追加する
<IfModule dir_module>
    DirectoryIndex index.html index.cgi index.php
</IfModule>

# cgiを実行できるディレクトリを固定しない
<IfModule alias_module>
    # ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
</IfModule>

# cgiの拡張子を有効化
<IfModule mime_module>
    AddHandler cgi-script .cgi
</IfModule>

# 日本語が文字化けすることがあるため以下を設定
#AddDefaultCharset UTF-8
AddDefaultCharset none


デフォルトだとindex.htmlファイルも用意されていないのでアクセスできるページが存在しない状態なのですが、実際にアクセスをするとCentOSと書かれたページが表示されてしまいます。これだとOSが第三者に漏れてしまいますので、これが表示されるように設定されている/etc/httpd/conf.d/welcome.confを適当なディレクトリに退避しておきます。

# mv /etc/httpd/conf.d/welcome.conf /root


■アクセス制御に関する設定

<Directory>で指定されるディレクトリに対するアクセス制御を行うためのディレクティブについて解説します。アクセス制御はApacheの中核機能です。

(1) 制御オプションの追加・変更・削除


Options [+|-]<option>


<Directory>内では指定したディレクトリに対して具体的なディレクティブを指定します。この中に制御オプションと呼ばれるパラメータを<option>で設定します。このパラメータに指定できる制御オプションを以下に示します。

オプション  意味 
None  制御オプションを全て無効にする 
All  制御オプションを全て有効にする 
ExecCGI  CGIプログラムの実行を許可する 
FollowSymLinks  シンボリックシンクがあるとき、それを辿ることを許可する 
Includes  SSIを許可する 
IncludesNOEXEC  SSIを許可するが、#exec、#cmd、#includeによるプログラムの実行は禁止する 
Indexes  ディレクトリインデックスの作成を許可する 
MultiViews  Content negotiated MultiViewsを許可する 
SymLinksOwnerMatch  シンボリックリンクとリンク先が同じ所有者である場合のみ、それを辿ることを許可する 


指定したそれぞれの制御オプションの前に+/-をつけることもできます。+をつけるとそのディレクトリで新たにoptionが追加されます。-をつけるとそのディレクトリで<option>が削除されます。どちらもつけなければそれより上位のディレクトリにおける制御のオプションが全てこのディレクトリのものに置き換えられます。

(2) アクセス制御ファイルによるオーバーライドの許可


AllowOverride <override> .....


アクセス制御ファイルによるディレクトリごとの設定変更をどこまで許可するか指定します。<override>で指定できる指定子を以下に示します。

指定子 意味 
None  オーバーライドを無効にする ( アクセス制御ファイルがあっても無視する )
All  アクセス制御ファイル内の全てのディレクティブを有効にする。
AuthConfig 認証に関連するディレクティブを有効にする。( .htaccessファイルが有効となる )
FileInfo ドキュメントタイプを指定するディレクティブを有効にする。
Indexes ディレクトリインデックスを指定するディレクティブを有効にする。ディレクトリ丸見え状態となるため非奨励。
Limit アクセス制御を行うディレクティブを有効にする。対象のディレクティブは allow, deny , orderの3つ。
Options 機能を制御するディレクティブを有効にする。


(3) アクセス許可・拒否等の設定

apache2.2まで使用していた任意のIPからのアクセスを許可するとい記述は2.4から以下に変更され、デフォルトで設定されています。。


Require all granted


上記では一行のみ記載しておりますが、本来はRequireディレクティブを使用して記述します。このRequireディレクティブは以下の3種類が存在します。

ディレクティブ 説明
<RequireAny> 複数記述された条件の中でいずれかがマッチすればアクセス許可。省略した場合のデフォルト動作。
<RequireAll> 複数記述された条件が全てマッチした場合に発動する。特定のIPを許可・拒否などを指定する場合に使用する。
<RequireNone> 複数記述された条件の中でいずれかにマッチした場合にアクセス拒否。あまり使うことはない。


例えば192.168.0.0/24と192.168.1.0/24をアクセスを許可する場合は以下の記述を行います。下記はRequireディレクティブを省略していますのでRequireAnyが適用されます。また複数指定したい場合は改行して記述すれば良いということになります。

Require ip 192.168.0.0/24
Require ip 192.168.1.0/24

省略せずに記載すると以下のようになります。

<RequireAny>
  Require ip 192.168.0.0/24
  Require ip 192.168.1.0/24
</RequireAny>

逆に192.168.0.0/24と192.168.1.0/24からのアクセスを拒否したい場合はRequireAllディレクティブを用いて以下のような記述になります。


<RequireAll>
  Require all granted
  Require not ip 192.168.0.0/24
  Require not ip 192.168.1.0/24
</RequireAll>



■ユーザ認証 ( Basic )

Apacheで昔ながらに使われている認証方式で最もスタンダードな方式です。但し、この手法はパスワードが暗号化されずに平文で流れてしまうのが難点です。設定はhttpd.confに行います。ここでは制限をかけたいディレクトリを/var/www/html/basicとします。

<Directory "/var/www/html/basic">
AuthType Basic
AuthName "Require Auth"
AuthUserFile /var/www/html/basic/.htpasswd
Require valid-user
</Directory>


上記をhttpd.confの最後尾に追記し、apacheを再起動します。または/var/www/html/basic配下に.htaccessファイルを作成しても同様です。そして実際のユーザとパスワードを次のコマンドでセットします。

# htpasswd -c /var/www/html/basic/.htpasswd user
New password:[パスワード入力]
Re-type new password:[パスワード入力]
Adding password for user user

# more /var/www/html/basic/.htpasswd
user:sNQ1ca2F/hkRk


ユーザIDとして「user」を登録し、それに対してパスワードをセットしています。-cオプションはファイルを新たに生成するという意味です。既存の.htpasswdに認証ユーザを追加したい場合は-cオプションは不要であり次のようにコマンドを実行します。

# htpasswd /var/www/html/basic/.htpasswd user1
New password:[パスワード入力]
Re-type new password:[パスワード入力]
Adding password for user user

# more /var/www/html/basic/.htpasswd
user:sNQ1ca2F/hkRk
user1:3jlDTcijbrgbQ


この状態で上のディレクトリにブラウザからアクセスしようとして認証画面が表示され、ID/PASSで閲覧出来ればOKです。


■ユーザ認証 ( Digest )

Apacheのもう一つの認証、Digest認証です。Basic認証はパスワードが平文で流れるのに対してDigest認証は暗号化がされます。前提条件としてApacheにauth_digestモジュールが組み込まれている必要性があり、古いブラウザなどでは対応していない場合がありますが、セキュリティ的にはこちらのほうが好ましいです。

設定方法はBasic認証とほぼ同一でまずhttpd.confから編集します。

<Directory "/var/www/html/digest">
AuthType Digest
AuthName "Require Auth"
AuthUserFile /var/www/html/digest/.htdigest
Require valid-user
</Directory>


実際のユーザとパスワードを次のコマンドでセットします。

# htdigest -c /var/www/html/digest/.htdigest 'Require Auth' user
Adding password for user in realm Require Auth.
New password:[パスワード入力]
Re-type new password:[パスワード入力]

# more /var/www/html/digest/.htdigest
user:Require Auth:5552a3218d8fd3d4ed6abfc4d0062c15


ユーザIDとして「user」を登録し、それに対してパスワードをセットしています。-cオプションはファイルを新たに生成するという意味です。 Basic認証との違いはレルムを指定する必要があります。上のコマンドでいう'Require Auth'の部分です。これはhttpd.confで指定したAuthNameと一致している必要があります。 この状態で上記のディレクトリにブラウザからアクセスして認証画面が表示され、認証まで通れば動作はOKです。



■バーチャルホストの設定

バーチャルホストとは1台のWebサーバで複数のドメインを運用するための仕組みです。例えばwww.unix-power.netをwebサーバとして動作させると同時にwww.unix-power1.netのwebサーバとしても動作させるにはバーチャルホストを利用します。

バーチャルホストを実現する方式にはIPベースのバーチャルホストと名前ベースのバーチャルホストがあります。IPベースのバーチャルホストはドメインごとにIPアドレスを割り当てる方式です。クライアントから接続したIPアドレスからドメインを判別できるため確実にバーチャルホストの機能を実現できます。但し、ドメインの数だけIPアドレスが必要なのであまり現実的ではないとも言えます。但し、HTTPSをバーチャルホストで実現しようと思うとこの方式である必要があります。

名前ベースのバーチャルホストはクライアントからのHTTPのHostリクエストヘッダでドメインを判別する方式です。IPアドレスを複数用意する必要はありませんがクライアントがHTTP/1.1に対応している必要があります。以下ではこの名前ベースのバーチャルホストのメモを残します。


サーバの名称、ドキュメントルート、ログの場所などドメイン毎に区別したい設定を記述します。少なくともServerNameディレクティブを指定する必要があります。以下ではwww.unix-power.netとwww.unix-power1.netの2つのバーチャルホストを設定する例です。

<VirtualHost 192.168.12.20>
   ServerName www.unix-power.net
   ServerAdmin webmaster@unix-power.net
   DocumentRoot /var/www/unix-power/htdocs
   ErrorLog /var/log/httpd/unixpower.net-error_log
   CustomLog /var/log/httpd/unixpower.net-access_log combined
</VirtualHost>

<VirtualHost 192.168.12.20>
   ServerName www.unix-power1.net
   ServerAdmin webmaster@unix-power1.net
   DocumentRoot /var/www/unix-power1/htdocs
   ErrorLog /var/log/httpd/unixpower1.net-error_log
   CustomLog /var/log/httpd/unixpower1.net-access_log combined
</VirtualHost>


<VirtualHost>ディレクティブの引数に_default_を指定すればそれは全てのバーチャルホストの設定にマッチしなかった場合のデフォルトとなります。

また、Apache2.4からはNameVirtualHost ******という記述は不要となりました。



 Copyright(C) 2003-2015 UnixPower on Networking All rights reserved.