知的システム構築工房 linux 設定セミナーシリーズ

第 3 回 Web サーバー設定

－ 1 －－ 1 －

知的システム構築工房　　 Linux 設定セミナーシリーズ

第 3 回　 Web サーバー設定

2011 年 3 月 14 日（月）株式会社アセンディア


－ 2 －－ 2 －

目的

当セミナーを通して、Web サーバの設定方法を理解し、 Web サービスの構築を体得する


－ 3 －－ 3 －

目標当セミナーを受講することにより

　１． Web サーバ構築で必要な知識を習得し、　　 Web サービスを設定・構築することができるように　　なること

　２．セキュリティに考慮した Web サービスを構築　　できるようになること


－ 4 －－ 4 －

セミナー内容

１．Webサービスのインストール設定　　　 Apache HTTP Server インストール　　　ドキュメントルートについて　　　 Apache の設定（応用編）

２．アクセスログの設定方法Apache のアクセスログ管理アクセスログを解析する Webalizer のインストール

３．セキュアなWebサービスの構築方法セキュアな Web サービスの構築 OpenSSL 設定までの流れ


－ 5 －－ 5 －

１． Web サービスのインストール設定


－ 6 －－ 6 －

Web サーバー

HTML ファイルや画像などの情報を蓄積し要求に応じて提供するサーバ　 HTTP(HyperText Transfer Protocol) を使用する

主な Web サーバーソフト

　　 Apache HTTP Server　　　　　　　世界中で約半数のサーバーで利用されているソフトウェア　　　大規模な商用サイトから、個人で運用するサイトまで、幅広く利用される。　　　 Windows ,MacOS,Linux,Unix 等、さまざまな OS で利用可能

　　 IIS(Internet Information Server)　　　 Microsoft 社が提供するソフトウェア　　　 Web サービス以外に、 FTP,SMTP 等の機能を有する。　　　 Windows OS のみインストール、運用可能

　　 Oracle HTTP Server　　　 Oracle 社が提供するソフトウェア　　　 Apache HTTP Server の派生商品。　　　 Oracle アプリケーションと連携する


－ 7 －－ 7 －

Apache　HTTP　Server インストール

インストールの流れ

　１．ソフトウェアの取得

　２．ダウンロードしたソフトウェアの解凍

　３．プログラムソースコードのコンパイル

　４．ソースコードのインストール

　５． httpd.conf 設定

　６．動作確認


－ 8 －－ 8 －

１．ソフトウェアの取得Web サイトより取得します。 http://httpd.apache.org/


－ 9 －－ 9 －

タイトル

カーネル

：：


－ 10 －－ 10 －

個人フォルダ / ダウンロードフォルダ配下にコピーされます


－ 11 －－ 11 －

２．ダウンロードしたソフトウェアの解凍①

②

③

④⑤

⑥⑦

①pwd 自分がいるディレクトリを確認②ls ファイル確認③ダウンロードディレクトリへ移動④Web サイトよりダウンロードしたプログラムファイル (httpd-2.2.17.tar.gz) が存在することを確認⑤gzip ｇｚ圧縮したファイルを解凍する⑥解凍されていることを確認⑦tar アーカイブされたファイルをディレクトリ構成に戻す


－ 12 －－ 12 －

①

②③

①tar コマンド発行により、復元状況が表示される②復元されたディレクトリが表示される (httpd-2.2.17)③httpd-2.2.17 ディレクトリへ移動し、ファイルが解凍されていることを確認する


－ 13 －－ 13 －

３．プログラムソースコードのコンパイル

　　コンパイルの流れ

　　１． root ユーザに変わります

　　２．プログラムソースを /usr/local/src へ移動します

　　３． configure コマンド発行

　　　　コンパイラ、ライブラリのコンパイル環境チェック

　　　　⇒チェック OK の場合、 MakeFile が作成されます

　　４． make コマンド発行

Makefile( コンパイル手順設定ファイル）に従って、コンパイルさ

れます


－ 14 －－ 14 －

.configure --prefix=/usr/local/apache2 --enable-ssl３ .configure コマンドの発行

オプションの追加　 prefix インストールされる場所　 enable-ssl SSL 機能を追加する

４ .make コマンドの発行

make

１ .su コマンドの発行

su - [root ユーザのパスワード ]

２ . プログラムソースの移動

mv /home/[ ユーザ名 ]/ ダウンロード /httpd-2.2.17 /usr/local/src

※/usr/local/src/httpd-2.2.17 へ移動してコマンド発行


－ 15 －－ 15 －

４．ソースコードのインストール

１ .make install コマンドの発行

make install

インストールが完了すると、 /usr/local/ 配下に apache2 フォルダが作成されます。apache2 フォルダの中を確認します


－ 16 －－ 16 －

５． httpd.conf 設定

設定ファイルは、 /usr/local/apache2/conf/ 配下にあります。この設定ファイルを編集することで、 Apache Web サービスの動作を変更します。まずは、 httpd.conf ファイルをのぞいてみましょう！

1. 管理者の設定　 ServerAdmin [email protected]

2. サーバー名の設定 ServerName XXXX:80

3. トップページとして表示されるファイルの設定　 DirectoryIndex topPage.html

　　※既存のファイルをリネームします。　　　　 root ユーザにて作業します


－ 17 －－ 17 －

ドキュメントルートについて

ドキュメントルート = URL によるアクセスで起点となるディレクトリ

http://www2.cc.oita-u.ac.jp/eng/index.html

WWW サーバ

index.html

/data/web/oita-u/eng/

DocumentRootドキュメントルート


－ 18 －－ 18 －

６．動作確認

１． Apache ソフトウェアの起動 Apache の実行ファイルは /usr/local/apache2/bin フォルダ配下にあります。

apachectl 実行ファイルにて操作を行う　オプション： start 　起動　　　　　　　　 stop 停止　　　　　　　　 restart 再起動


－ 19 －－ 19 －

２．ブラウザで起動確認

ブラウザにて、下記のアドレスを入力します。http://localhost/ 　

It works! と表示されていれば OK です。このように表示した場合は httpd.conf をの DirectoryIndex を確認！


－ 20 －－ 20 －

１．ネットワークアクセス制限の設定　 httpd.conf ファイルで設定します

　 1. /usr/local/apache2/conf/ へ移動　 2. httpd.conf ファイルを修正　　　　 <Directory "/usr/local/apache2/htdocs/accessLimit">

Allow from 192.168.0.0/255.255.255.0

Deny from all

Order Deny,Allow

</Directory>

Apache の設定（応用編）


－ 21 －－ 21 －

２．ユーザ名とパスワードで認証を行う　ユーザ認証が必要な Web サイトに設定を行います。

　 1. root ユーザに変わり、 /usr/local/apache2/conf ディレクトリに移動します

　 2. パスワードファイルを作成します　　　 htpasswd コマンド　　　　 htpasswd -c ファイル名ユーザ名 -c:新規のみ

3.http.conf ファイルを修正します<Directory "/usr/local/apache2/htdocs/accessLimit">

Allow from 192.168.0.0/255.255.255.0Deny from allOrder Deny,Allow

AuthType Basic AuthName "Access ERROR!!" AuthUserFile "conf/.htpasswd" Require valid-user</Directory> 　

　 4.Apache 　再起動

※ユーザ名は、 Linux のユーザとは別に管理されます

※Order : Order から遠い記述から優先されるOrder Allow,Deny 　と記述した場合、すべてのネットワークからアクセスできなくなります。


－ 22 －－ 22 －

HTTP ステータスコードについて

HTTP 通信時、 Web サーバからの応答を３桁の数字でクライアントへ返します。この３桁の数字のことを、 HTTP ステータスコードになります。

100番台 :Infomation 情報　リクエストを受け取った200番台 :正常処理300番台 :Redirection400番台 : クライアントエラー500番台 : サーバエラー

番号内容番号内容100処理の継続 400不正なリクエスト200 リクエスト正常終了 401 認証エラー304 アクセスしたページ未更新 403禁止されているページへアクセスした

404 ページが見つからなかった500 サーバ内部エラー503 サービス利用不可504ゲートウェイタイムアウト

エラー正常代表的なステータスコード一覧


－ 23 －－ 23 －

ステータスコードの応じたページのカスタマイズ

httpd.conf ファイル設定

　 347 # 348 # Customizable error responses come in three flavors: 349 # 1) plain text 2) local redirects 3) external redirects 350 # 351 # Some examples: 352 #ErrorDocument 500 "The server made a boo boo." 353 ErrorDocument 404 /missing.html 354 #ErrorDocument 404 "/cgi-bin/missing_handler.pl" 355 #ErrorDocument 402 http://www.example.com/subscription_info.html 356 #

①

①HTTP ステータスコード 404( ページが見つからない）の場合、 missing.html を表示させる設定


－ 24 －－ 24 －

演習問題１

下記の構成で Apche の設定を行いましょう。

認証リンク

認証 OK

認証に失敗しました！

ユーザ IDパスワード

認証 OK

認証 NG

http://localhost/accessLimit/index.html

http://localhost/login.html

Member Check

http://localhost/401.html


－ 25 －－ 25 －

２．アクセスログの設定方法


－ 26 －－ 26 －

Apache のアクセスログ管理

Apache は、外部からアクセスした様々な情報ログを書き出すロギング機能があります。ログを管理することで、サーバの状態を把握し、プログラムのエラーを検知し、セキュリティの確保を行うことができます。ログはサーバにとって貴重な情報源になります。ログの種類

アクセスログ　　⇒外部から Web サービスに接続した記録を取るためのログ　　　　クライアント名 (IP アドレスやホスト名 )　　　　　　　　　　アクセス日時、クライアントからのリクエスト内容等エラーログ　　⇒サーバ側で発生したさまざまなエラー（ HTTP ステータス 400番 ,500番 )　　　　　　　　　を記録しますCGIエラーログ　　⇒ CGI スクリプトエラーが発生した場合に記録します

Apache のログは、２つ種類があります。


－ 27 －－ 27 －

ログの設定

ログの設定は httpd.conf ファイルで行います。

AccessLog 207 LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined 208 LogFormat "%h %l %u %t \"%r\" %>s %b" common

216 # The location and format of the access logfile (Common Logfile Format). 217 # If you do not define any access logfiles within a <VirtualHost> 218 # container, they will be logged here. Contrariwise, if you *do* 219 # define per-<VirtualHost> access logfiles, transactions will be 220 # logged therein and *not* in this file. 221 # 222 CustomLog "logs/access_log" common

%h リモートホスト名%l クライアント識別子%u IDユーザ%t アクセス日時%r リクエスト内容%>s httpステータスコード%b 送信されたバイト数%{Referer}i 参照元%{User-Agent}i (Web )ユーザエージェントブラウザ

※設定する項目によって、 log ファイルの肥大化が発生しますので、注意が必要です！


－ 28 －－ 28 －

logs/access.log

%a IPクライアントアドレス%b 送信されたバイト数%D サーバーがリクエストに返答するまでの時間%f アクセスファイル名%q 問い合わせ文字列%T リクエスト返信時間

その他のパラメータ


－ 29 －－ 29 －

ErrorLog

[Sat Feb 26 11:23:50 2011] [error] [client 127.0.0.1] user sdf not found: /accessLimit, referer: http://localhost/login.html[Sat Feb 26 11:26:58 2011] [notice] caught SIGTERM, shutting down[Sat Feb 26 11:27:00 2011] [notice] SSL FIPS mode disabled[Sat Feb 26 11:27:00 2011] [warn] Init: Session Cache is not configured [hint: SSLSessionCache][Sat Feb 26 11:27:00 2011] [notice] SSL FIPS mode disabled[Sat Feb 26 11:27:00 2011] [notice] Apache/2.2.17 (Unix) mod_ssl/2.2.17 OpenSSL/1.0.0a-fips configured -- resuming normal operations[Sat Feb 26 11:27:12 2011] [error] [client 127.0.0.1] user ds not found: /accessLimit/, referer: http://localhost/login.html[Sat Feb 26 15:32:10 2011] [notice] caught SIGTERM, shutting down[Sat Feb 26 15:32:17 2011] [notice] SSL FIPS mode disabled[Sat Feb 26 15:32:17 2011] [warn] Init: Session Cache is not configured [hint: SSLSessionCache][Sat Feb 26 15:32:17 2011] [notice] SSL FIPS mode disabled[Sat Feb 26 15:32:17 2011] [notice] Apache/2.2.17 (Unix) mod_ssl/2.2.17 OpenSSL/1.0.0a-fips configured -- resuming normal operations[Sat Feb 26 15:32:33 2011] [error] [client 127.0.0.1] File does not exist: /usr/local/apache2/htdocs/favicon.ico[Sat Feb 26 15:32:33 2011] [error] [client 127.0.0.1] File does not exist: /usr/local/apache2/htdocs/favicon.ico[Sat Feb 26 15:32:33 2011] [error] [client 127.0.0.1] File does not exist: /usr/local/apache2/htdocs/favicon.ico[Sat Feb 26 15:32:45 2011] [error] [client 127.0.0.1] user sugiura: authentication failure for "/accessLimit/": Password Mismatch, referer: http://localhost/login.html[Sat Feb 26 15:34:42 2011] [error] [client 127.0.0.1] File does not exist: /usr/local/apache2/htdocs/favicon.ico[Sat Feb 26 15:34:48 2011] [error] [client 127.0.0.1] File does not exist: /usr/local/apache2/htdocs/userAccess


－ 30 －－ 30 －

favicon.ico　　ブラウザのお気に入りに登録された場合に表示されるアイコンファイルです。　　このアイコンファイルが無い場合、 Error ログに出力されます。　　トップページのディレクトリに配置します。

robots.txt　　検索エンジン (google,yahoo 等 ) のロボットに対して、サイトの巡回方法を　　指定するテキストファイルです。　　サイトのトップディレクトリに配置します。 (htdocs直下 )　　 SEO対策として用いられる。

User-agent: *Disallow: /

User-agent: GooglebotDisallow: /adminOnly/Disallow: /cgi-bin/

ログの内容

検索エンジンにヒットされないようにする設定

検索エンジン（ google) に adminOnly,cgi-bin ディレクトリ配下を巡回から省く設定


－ 31 －－ 31 －

ログの内容からセキュリティチェックを行う

　 1. ステータスコードの確認　　 404 (Not Found: ページが見つかりません )　　　このエラーが頻発する場合、サーバーへの DoS攻撃 ( サーバーアタック）　　　や Apache のセキュリティフォールを狙った攻撃をされている可能性が　　　あります。　　　

401 (Unauthorized: 認証エラー )　　　このエラーが頻発する場合、認証の失敗が原因であることから、　　　不正アクセスを行おうとしている場合や、ブルートフォースアタックツール　　　（暗号を解読してパスワードを盗むソフト）を使用した攻撃をされている　　　可能性があります。

　 2.不信なファイル名へのアクセス　　　このエラーが頻発する場合、 Web アプリケーションファイルを不正に取得　　　しようとしている場合や、アプリケーションのセキュリティフォールを攻撃　　　しようとしている可能性があります。


－ 32 －－ 32 －

ログの内容からセキュリティチェックを行う

　 1. ステータスコードの確認　　 404 (Not Found: ページが見つかりません )　　　このエラーが頻発する場合、サーバーへの DoS攻撃 ( サーバーアタック）　　　や Apache のセキュリティフォールを狙った攻撃をされている可能性が　　　あります。　　　

401 (Unauthorized: 認証エラー )　　　このエラーが頻発する場合、認証の失敗が原因であることから、　　　不正アクセスを行おうとしている場合や、ブルートフォースアタックツール　　　（暗号を解読してパスワードを盗むソフト）を使用した攻撃をされている　　　可能性があります。

　 2.不信なファイル名へのアクセス　　　このエラーが頻発する場合、 Web アプリケーションファイルを不正に取得　　　しようとしている場合や、アプリケーションのセキュリティフォールを攻撃　　　しようとしている可能性があります。


－ 33 －－ 33 －

アクセスログを解析する

Webalizer によるアクセスログ解析　 ⇒解析ツールを利用することによって、ログの視覚化を行います。

・ Webalizer の機能　　１．トラフィック統計 ( 月、日、時間毎 )

　　２．ヒット数ランキング（ Web ページ )

　　３．リファラー（どのページより遷移してきたか）　　４．クライアントのブラウザ、 OS 情報　　等々・・・


－ 34 －－ 34 －

Webalizer のインストール

インストールの流れ

　１． yum コマンドにてインストール

　２． httpd.conf 設定

　３． webalizer.conf 設定

　４． Apache 再起動

　５．動作確認

１． yum コマンドにてインストール　　 root ユーザで作業を行います。　　

yum -y install webalizer


－ 35 －－ 35 －

２． httpd.conf ファイル設定

　　 Webalizer ページが表示できるように設定します。

# Webalizer 設定 Alias /webalizer /var/www/usage

<Location /webalizer> Order deny,allow Deny from all Allow from 127.0.0.1 Allow from ::1 </Location>

３． webalizer.conf ファイル設定　　 /etc/webalizer.conf を設定します。

　　 #LogFile /var/log/httpd/access_log　　 LogFile /usr/local/apache2/logs/access_log

４． Apache 再起動


－ 36 －－ 36 －

５．動作確認

　　 http://localhost/webalizer/index.html


－ 37 －－ 37 －

３．セキュアな Web サービスの構築方法


－ 38 －－ 38 －

セキュアな Web サービスの構築

OpenSSL を利用した HTTPS ページの構築方法

SSL 通信： WWW や FTP などのデータを暗号化し、安全な通信を行うOpenSSL ： SSL 通信に必要な各種証明書を作成するパッケージCA(Certificate Authority) ：電子証明書を発行し、管理する機関CSR(Certificate Signing Request) ファイル：公開鍵、サーバ情報を記載

　　　　 HTTPS 　　　　

クライアント Web サーバ

SSL 通信が開始されると、ブラウザには鍵のマークが表示されます

秘密鍵ファイル

サーバー証明書ファイル


－ 39 －－ 39 －

OpenSSL 設定までの流れ

Web サーバ

秘密鍵ファイル

①OpenSSL をインストールします

②秘密鍵を作成します

SSL 認証局

④CSR ファイルを提出

⑤サーバー証明書発行

⑥サーバー証明書を適用

※④’ 自己署名証明書SSL 認証局を通さずにサーバー証明書を作成する限られたネットワークやテスト用として運用します。

③公開鍵を基に CSR ファイルを作成します

CSR ファイル


－ 40 －－ 40 －

①OpenSSL インストール

http://www.openssl.org/

openssl-1.0.0d.tar.gz をダウンロードします。ダウンロードしたファイルを/usr/local/src 　へコピーします。


－ 41 －－ 41 －

・インストール./configmakemake install

・ openssl のライブラリにパスを通しますecho "/usr/local/ssl/lib" >> /etc/ld.so.conf

・設定を反映しますldconfig

[root@user01 etc]# echo "/usr/local/ssl/lib" >> /etc/ld.so.conf[root@user01 etc]# ldconfig[root@user01 etc]#


－ 42 －－ 42 －

②秘密鍵の作成

　 1.conf ディレクトリに移動します　　　 cd /usr/local/apache2/conf/

2.秘密鍵作成コマンドの発行　　　 openssl genrsa -des3 1024 > secret.key

genrsa:RSA形式の秘密鍵の作成 -des3:des3 方式で暗号　　　 1024 : 1024 バイトの鍵を生成 secret.key : 秘密鍵名

[root@user01 conf]# openssl genrsa -des3 1024 > secret.keyGenerating RSA private key, 1024 bit long modulus......++++++......++++++e is 65537 (0x10001)Enter pass phrase:Verifying - Enter pass phrase:[root@user01 conf]#

　　　秘密鍵を覗いてみましょう！


－ 43 －－ 43 －

③CSR ファイルの作成[root@user01 conf]# openssl req -new -text -out webcsr.pem -keyout secret.keyGenerating a 2048 bit RSA private key........................+++................................................................................................................................................+++writing new private key to 'secret.key'Enter PEM pass phrase:Verifying - Enter PEM pass phrase:-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:State or Province Name (full name) []:Locality Name (eg, city) [Default City]:oitaOrganization Name (eg, company) [Default Company Ltd]:oitaOrganizational Unit Name (eg, section) []:acCommon Name (eg, your name or your server's hostname) []:user01.oita-u.testsv.ac.jpEmail Address []:

Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []: パスワードを入力An optional company name []:[root@user01 conf]#

CSRファイル生成のコマンドオプションオプションreq CSRファイルを作成　-new CSR新規にファイルを作成　- key 秘密鍵のファイルを指定


－ 44 －－ 44 －

④自己署名証明書　　運用では、 SSL 認証局へ CSR ファイルを提出し、サーバー証明書を発行する　　のですが、テスト運用・限られたネットワークのみでの運用として自己署名　　証明書を作成します。

　　 openssl x509 -in webcsr.pem -out server.crt -req -signkey secret.key -days 90自己証明書作成のコマンドオプションオプションx509 X509形式のデジタル証明書を発行　- in CSRファイルを指定　-days　日数証明書の有効期限　- req CSR入力ファイルがであること　 - signkey 秘密鍵を指定

[root@user01 conf]# openssl x509 -in webcsr.pem -out server.crt -req -signkey secret.key -days 90Signature oksubject=/C=XX/L=oita/O=oita/OU=ac/CN=user01.oita-u.testsv.ac.jpGetting Private key 　Enter pass phrase for secret.key: パスワードを入力[root@user01 conf]# lsextra httpd.conf.org mime.types secret.key userExtrahttpd.conf magic original server.cert webcsr.pem[root@user01 conf]#


－ 45 －－ 45 －

⑤サーバー証明書を適用

Apache 設定ファイルの修正　　 1.httpd.conf の設定　　 422 # Secure (SSL/TLS) connections　　　　　 423 Include conf/extra/httpd-ssl.conf 　　　　←コメントをはずします　　　　　 424 #

2./conf/extra/httpd-ssl.conf ファイルの設定 92 # Server Certificate: 93 # Point SSLCertificateFile at a PEM encoded certificate. If 94 # the certificate is encrypted, then you will be prompted for a 95 # pass phrase. Note that a kill -HUP will prompt again. Keep 96 # in mind that if you have both an RSA and a DSA certificate you 97 # can configure both in parallel (to also allow the use of DSA 98 # ciphers, etc.) 99 SSLCertificateFile "/usr/local/apache2/conf/server.crt" 100 #SSLCertificateFile "/usr/local/apache2/conf/server-dsa.crt" 101 102 # Server Private Key: 103 # If the key is not combined with the certificate, use this 104 # directive to point at the key file. Keep in mind that if 105 # you've both a RSA and a DSA private key you can configure 106 # both in parallel (to also allow the use of DSA ciphers, etc.) 107 SSLCertificateKeyFile "/usr/local/apache2/conf/server.key" 108 #SSLCertificateKeyFile "/usr/local/apache2/conf/server-dsa.key"


－ 46 －－ 46 －

3.Apache 再起動

[root@user01 conf]# /usr/local/apache2/bin/apachectl stop[root@user01 conf]# /usr/local/apache2/bin/apachectl startApache/2.2.17 mod_ssl/2.2.17 (Pass Phrase Dialog)Some of your private key files are encrypted for security reasons.In order to read them you have to provide the pass phrases.

Server www.example.com:443 (RSA)Enter pass phrase: パスワードを入力します

OK: Pass Phrase Dialog successful.[root@user01 conf]#


－ 47 －－ 47 －

4. 動作確認

①https://localhost/topPage.html 　へアクセスします。Mozilla Firefox の場合、下記のページが表示されます。


－ 48 －－ 48 －

①

②

①【証明書を取得】を押下します。②次回以降にもこの例外を有効にする　にチェックが入っていることを確認し、　【セキュリティ例外を承認】を押下します


－ 49 －－ 49 －

SSL 通信にてページが表示されます

①クリック

作成した証明書を確認します

知的システム構築工房 linux 設定セミナーシリーズ

Documents