Memo/Linux/Apache

AWS ELBのバックエンドサーバにapacheが入っていると仮定して、アクセスログに以下の項目を追加したい場合
- %D: リクエストを処理するのにかかった時間、マイクロ秒単位
- %{X-Forwarded-For}i: 複数IPがカンマ区切り。例: アクセス元IP, ELB IP
- %{X-Forwarded-Proto}i: プロトコル。 https, http

↑

LDAP認証 †

記事

CentOS6.3 x86_64 へインストールとNameVirtualHost? + リバースプロキシ(80 > 10080)の場合の設定

↑

mod_rpaf でロードバランサ経由のアクセス元IPをログに残す †

記事
- リーバスプロキシ／ロードバランサとmod_rpaf - インフラエンジニアway github ドットで終わるサブネットの記法対応、httpd 2.2.22以降でアクセス制限ができない問題対応
- https://github.com/gnif/mod_rpaf 0.6からフォークし、0.8まで上がっている。https対応。ドットで終わるサブネットの記法非対応
- mod_proxy:mod_rpaf:リバースプロキシとバックエンドのIPアドレス

リバースプロキシや、Amazon ELB等でアクセス元IPが、リバースプロキシやロードバランサになってしまう。
HTTPヘッダに「X-Forwarded-For」がある場合、これをアクセス元IPに置換するモジュール
Amazon ELBはSSL Termination時は「X-Forwarded-For」ヘッダが付くため使える。TCP:443の時は「X-Forwarded-For」ヘッダは付かないので使えない。
mod_rpafを使ったIPアドレスのアクセス制限オリジナルのmod_rpaf-0.6ではRHEL 6/CentOS 6/Amazon Linux 2011.09(httpd 2.2.22以降)でアクセス制限は使えず「RewriteCond?」なら可能
もしくはhtaccess で特定のファイルのみパスワードを要求しない

basic認証の時、特定のIPアドレスの場合はリダイレクト

httpd.conf

parent/.htaccess

parent/noauth/.htaccess

https://github.com/ttkzw/mod_rpaf-0.6

ドットで終わるサブネットの記法対応。APR-IPV6バグ修正

RHEL 6/CentOS 6/Amazon Linux 2011.09(httpd 2.2.22以降)でアクセス制御ができない問題対応

CentOS5.8 x86_64 オリジナル+パッチでビルド

mod_rpaf_degtine.patch ipv6 対応パッチ

mod_rpaf-2.0.c.classA.patch ドットで終わるサブネットの記法対応

↑

mod_tofu画像のリサイズ †

料理を楽しくする画像配信システムクックパッド自社製。未公開？
簡単！リアルタイム画像変換をNginxだけで行う方法 | cloudrop

↑

特定URLだけbasic認証を除外する †

Satisfy Anyを使う

.htaccessでmod_rewriteを使っている場合は、URLが書き換えられてしまうので、.htaccess側で指定する

/registers だけ除外する

↑

sudoを使う †

cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: Apacheユーザでsudo

php側

apache側

↑

Apache Killer脆弱性対策 †

CustomLogはサーバ設定ファイル, バーチャルホスト内でしか有効にならないので注意

Apache 2.2

cat >> /etc/httpd/conf.d/range-CVE-2011-3192.conf << 'EOS'
# Apache 2.2
# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (?:,.*?){5,5} bad-range=1
RequestHeader unset Range env=bad-range

# We always drop Request-Range; as this is a legacy
# dating back to MSIE3 and Netscape 2 and 3.
RequestHeader unset Request-Range

# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range
CustomLog logs/range-CVE-2011-3192.log common env=bad-req-range
EOS

service httpd graceful

Apache Pre 2.2 and 1.3

cat >> /etc/httpd/conf.d/range-CVE-2011-3192.conf << 'EOS'
# Apache Pre 2.2 and 1.3
# Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(bytes=[^,]+(,[^,]+){0,4}$|^$)
# RewriteCond %{HTTP:request-range} !(bytes=[^,]+(?:,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

# We always drop Request-Range; as this is a legacy
# dating back to MSIE3 and Netscape 2 and 3.
RequestHeader unset Request-Range
EOS

service httpd graceful

テスト。不正なRangeリクエストを生成して、rangeが削除か「0-」に書き換えられているかをチェック

サーバ設定ファイル, バーチャルホスト内に記載した場合はログ(/var/log/httpd/range-CVE-2011-3192.log)もチェック

cat >> /var/www/html/h.php << 'EOS'
<?php
$headers = apache_request_headers();
var_export($headers);
EOS

curl \
-H "HEAD / HTTP/1.1" \
-H "Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,5-7,5-8,5-9,5-10,5-" \
-H "Request-Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,5-7,5-8,5-9,5-10,5-" \
-H "Connection: close" \
http://127.0.0.1/h.php

↑

.htaccess tips †

記事
- ブログやウェブサイトですぐに役立つ「.htaccess」の設定のまとめ | コリス
- 使える.htaccessテクニック１０個:phpspot開発日誌

↑

ワイルドカードSSL自己証明書 †

*.example.com のワイルドカード自己証明書を作成する。Firefoxでは例外として追加すれば動作可能。他のバーチャルホストでも「<VirtualHost? *:443>」～「</VirtualHost? >」をコピペすれば同じ。
本物は SSL証明書 RapidSSL 2600円ワイルドカード 18000円 (RapidSSL Strategic Partner) が安い

Blog: 名前ベースのバーチャルホストにオレオレワイルドカード証明書でSSL対応してみた。 ? Neo Titans

↑

SSL証明書 †

基本的に1台のWEBサーバ(1GlobalIP)でNameVirtualHost?だと1つのSSL証明書しか使えない
*.example.com のようなワイルドカードSSL証明書を使う

http://www.startssl.com/
- Class1のSSL証明書が1年間無料
- StartCom Free SSL Certificate

SSL証明書 RapidSSL 2600円ワイルドカード 18000円 (RapidSSL Strategic Partner)
- WHOISのメールアドレス等も指定できて楽。
- ワイルドカード証明書は「*.example.com」のように取得できるので複数のSSLサイトが必要な場合は安上がり
低価格でモバイル環境にも強いSSL証明書サービス SSLボックス
- 2100円/年と安いが、「admin@取得ドメイン」宛にしか承認メールが飛ばせず、使いにくい
- SSLBOXを使用したSSL証明書の取得 - JG1PAAの独り言、メモ書き、その他…

秘密鍵の作成

CSRの作成。ワイルドカード証明書なら「Common Name: *.example.com」

CSRファイルの確認

証明書ファイルの確認

「Certificate chain」でサーバ証明書と中間CA証明書が表示されていれば、正しくチェーンが確立されている cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: OpenSSLを用いた証明書設定の確認方法

IIS向けのPKCS#12形式への変換。crtファイルとパスフレーズ無しkeyファイルが必要

↑

同時接続数の制限 †

↑

ab(ApacheBench?) †

hostを指定

User-Agentを指定

Apache 2.2.11のabなら、そのままUser-agentを表示してくれるらしい

両方指定

↑

「Could not reliably determine the server's fully qualified domain name」ワーニング †

hostsにFQDNが設定されていないと、apache再起動や「httpd -S」等で表示されるワーニング

hostsに適当なFQDNを指定する。
「hostname --fqdn」で表示されればOK
ServerAlias?等で名前を指定する

再起動

$ sudo vi /etc/hosts
----
127.0.0.1               web1.jp
----

$ sudo vi /etc/httpd/conf.d/vhost00_ipaddr.conf
----
    ServerAlias web1.jp
----
$ sudo /sbin/service httpd graceful

↑

パフォーマンスチューニング †

apacheパフォーマンスチューニング

# vi /etc/httpd/conf/httpd.conf
----
KeepAlive On
HostnameLookups Off
----

プロセス数を調整する場合以下コマンドで、prefork.cと表示されれば、prefork.cモード

# httpd -l

# vi /etc/httpd/conf/httpd.conf
----
<IfModule prefork.c>
# default 8
StartServers       4
# default 5
MinSpareServers    3
# default 20
MaxSpareServers   10
# default 256
ServerLimit      128
# default 256
MaxClients       128
# default 4000
MaxRequestsPerChild  400
</IfModule>
----
# service httpd restart

↑

RewriteRule?の使い方 †

/test/?var=foo のアクセスを /test.php?id=test&var=foo に渡したい場合

RewriteLoglevel? 0にすれば、ログは出力されない

RewriteEngine On
RewriteLog "/tmp/rewrite.log"
RewriteLoglevel 2

RewriteCond %{REQUEST_URI} ^/ctg/
RewriteRule ^/test/([^\/]*) /test.php?id=$1&%{QUERY_STRING}

Apache module mod_rewrite

GETが欲しい時は以下を付ける
```
%{QUERY_STRING}
```

.htaccessのRewriteRuleで、リクエストされたページを別のページに遷移させたいと思っています。 test-英数文字.cgi?後ろのGETパラメーター全部という感じで入ってくる文.. - 人力検索はてな

↑

アクセスログの記録に特定条件を指定する †

access_logに大量ロボットや、死活確認のnagiosのログがでてきて見にくい場合。

httpd.conf のログ設定を変更 mod_setenvif

-CustomLog logs/access_log combined
+SetenvIf Remote_Addr 10\.0\.1\.(1|252|253) bigip
+CustomLog logs/access_log combined env=!bigip

↑

SSL自己証明書 †

お試しでHTTPSサーバを立ててみたいときとか。実験用。ブラウザによっては毎回認証するか聞いてくる(Opera9.02)

環境
- CentOS release 6.2 (Final) x86_64

秘密鍵等の作成

mod_ssl等の設定

↑

SSL証明書を導入しているにもかかわらず、Operaで認証ダイアログが出る場合 †

サブドメインまで有効なSSL証明書(*.foo.com)をインストールしてあっても、Opera9.0では「SSL証明書とドメイン名が異なっています。」と毎回ダイアログが出る。
IE6.0やFirefox1.5では表示されない。
その場合は、apacheのServerName?が適切に設定するかを確認する。

/etc/httpc/conf/httpd.conf

#ServerName localhost.localdomain:80
DocumentRoot "/var/www/html"
ServerName bar.foo.com

/etc/httpd/conf.d/ssl.conf

DocumentRoot "/var/www/html"
#ServerName www.example.com:443
ServerName bar.foo.com:443

再起動
```
# service httpd graceful
```

↑

緩やかな再起動 †

親プロセスを殺さずに、新しい子プロセスから新しい設定を適用する事ができます。
よってサービスを停止せずに新しい設定を適用できます。

http://httpd.apache.org/docs/2.2/ja/stopping.html
```
# service httpd graceful
```

↑

Basic認証の.htpasswdを管理するcgi †

HTAdmin

↑

コンテンツタイプを設定する †

たとえば、*.php、*.inc、*.cls、*.classファイルをphpとして実行させたい場合は以下のように設定します。

編集
```
vi /etc/httpd/conf.d/php.conf
```

特定のファイルのみ設定

<Files ~ "\.(php|inc|class|cls)$">
</Files>

特定のディレクトリのみ設定

<Directory "パス">
   AddType application/x-httpd-php .php
   AddType application/x-httpd-php .inc
   AddType application/x-httpd-php .cls
   AddType application/x-httpd-php .class
</Directory>

↑

htmlファイルで、charsetを指定しても文字化けする場合は？ †

Apacheがデフォルトでhttp headerにcharsetを指定している場合があります。
以下のようにデフォルトでUTF-8が設定されていると文字化けしました。

AddDefaultCharset UTF-8

変更
```
# vi /etc/httpd/conf/httpd.conf
```
先頭に#をつけてコメントアウトして保存
```
# AddDefaultCharset UTF-8
```
Apache再起動
```
# service httpd restart
```

↑

同時接続数を得る †

以下の結果が、httpd.confのMaxClients?を上回っているならば、MaxClients?を要調整。

$ netstat -a | grep http | wc -l

↑

ログ解析ツール †

Analog
基本的な事はできる感じだが、形式が古い。

Webalizer
割と高機能。円グラフ等出力機能あり。開発止まっているらしい。

The Webdruid
Webalizerとそっくり。

Webdruid - アクセス解析

比較サイト
http://awstats.sourceforge.net/docs/awstats_compare.html

↑

ファイル一覧を見えるようにする/ディレクトリインデックス †

httpd.confを編集し、AllowOverride? のnoneを消し、Optionsに書き換える。

ディレクトリ一覧を出したいディレクトリに以下の.htaccessファイルを作成する。
.htaccess

Apacheのディレクトリインデックスをありえない位かっこ良くできる「h5ai」:phpspot開発日誌

↑

その他 †

サイトを公開する際に最低限抑えておきたい Apache の設定 | バシャログ。 http://sourceforge.jp/magazine/11/08/25/0351236]]
[[Full Disclosure: Apache Killer