【MacOSX】 Apache初心者質問スレ 【専門】
MacOS10.4 Tigerが出ることだし
はりきっていこうか 単純に動けば良いってレベルならどっちも同じでは?
OSXServerは専用の管理ソフトが有るから(分かってる人には)便利だと思うけど、5万円する。
ついでに10.5がそろそろ出るから、今は買い時とは言えないね。
Linuxならソフトもハードも自由度が高いよね。
玄箱でOSXは動かないし、LFSみたいにソースからビルドは出来ないでしょ。
別の切り口で言うと、ApacheよりLighttpdのほうが早いとも聞くし、
環境への慣れも有るし、まあ、そんなかんじ。
ちなみに自分は、LinuxでWebサーバーを作る予定。
CFに最小限のソフトを詰めて、完全静音サーバーにしたい。 以前はスタローンとシュワルツネッガーで比べたもんだが、最近は違うのか。
まあ、州知事だもんな。比較に成らんか。
>>226
つhttp://www.kuroutoshikou.com/modules/display/?iid=122 PantherでWebDAV + Digest認証を使って鯖にしてるんですが、Directory /Users/aaa/Sites/devに対して
1:
Finderからのアクセスしてマウントした場合に、
valid-user ユーザ1にはすべての操作を許可、それ以外のvalid-userには閲覧とダウンロードのみを許可
2:
ブラウザからのアクセスに関してはすべてのvalid-userに対して閲覧とダウンロードのみ許可
を設定したいのですがどういうメソッドを制限すればいいのかよくわかりません。
できればLimitとLimitExceptだけで設定したいのです。よろしくお願いします。 パーミッション「755」or「644」じゃダメなの? valid-user = ローカルユーザーじゃないんじゃない? すんません説明不足ですね。
ファイルサーバー兼Webサーバーにしてます。
で、ディレクトリがいくつかありましてそれぞれのディレクトリに別々の管理人が居ます。
なので、ローカルユーザ以外にもvalid-userは設定してます。
また、WebDAVなのでFinderを使ってWAN側からネットワークドライブとしてマウントできます。
例えばvalid-userとしてユーザ1、ユーザ2、ユーザ3が居るとします
ディレクトリ1
ユーザ1はディレクトリ1以下のファイルに対してすべての操作を許可
ユーザ2とユーザ3は閲覧とダウンロードのみ
ユーザ1〜3以外はアクセス不可
ディレクトリ2
ユーザ2はディレクトリ2以下のファイルに対してすべての操作を許可
ユーザ1とユーザ3は閲覧とダウンロードのみ
ユーザ1〜3以外はアクセス不可
ディレクトリのパーミッションは760にしてます。
以上をふまえて何か良い方法があればよろしくお願いします。 WebDAVによるファイル鯖専用なら、
例えばディレクトリ1では、
まず、ユーザー1〜3を含んだグループを作成、仮に名前を「project1」とする。
次にディレクトリの権限を、
オーナー:ユーザー1 グループ:project1 にして、
パーミッションを640
でとりあえず実現はできるけど、かなり危ないよね。 Apache2.0.55 と mod_layout4.0.2で
全てのユーザーに動的フッターを埋め込もうと思うのですが
<Directory /home/*/public_html>
AddOutputFilter LAYOUT html
LayoutFooter /adget.cgi
</Directory>
とすると、CGIが実行されずにソースがそのまま出力されてしまいます
どうしたら実行後のデータを表示できますか? フッターじゃなくて直接cgiを呼んだときはどうなるの? ということはmod_layoutの仕様かと
説明書には出てないの >>234
ちなみにmod_layoutで動的なファイルを読み込むのは無理 >>87
デフォルトではcgi-bin直下に置くようになってるから、html上で表示させるときに
../cgi-bin/ecount/ecount.cgi?6
↑
ピリオド追加
数日前全く同じことをして2分くらい考えたからこれじゃまいか? iBook、PowerBookに続き、MacBookも爆発炎上
http://gigazine.jp/img/2007/03/13/macbook_inferno/macbook_inferno_001_m.jpg
「MacBook」のバッテリー部分が爆発炎上した模様。
もともとのカラーはホワイトのはずなのですが、 写真を見ていただければわかるように、かなりひどいことに。
バッテリーに問題があると発表されていたのは「MacBook Pro」なので、ユーザーにとって今回のは想定外の出来事です。
彼はここ3週間の自分のMacBookの調子を思い出してみると、
バッテリーが明らかに弱っていることはわかっていたそうです。
3時間動くはずなのになぜか1時間〜1時間半程度で使えなくなる、
というように。最後の数日間について思い出してみると、
フル充電しているにもかかわらず絶えず99%と100%の間で点滅を繰り返していたそうです。
……完全に挙動が怪しいですね。
土曜日の午後にはバッテリーは21%の残量で、そこで一度閉じています。
日曜日の夜に帰宅してからは起動せず、バッテリー残量はゼロを示していたそうです。
しかし直後、爆発炎上することに。
http://gigazine.net/index.php?/news/comments/20070313_macbook_inferno/ 下記の状況で、ファイルをアップロードするだけでo+rの権限が立つようにする方法はないでしょうか?
(>>19と似ています。)
10.3.9で、パーソナルWeb共有とFTPサービスを入にしました。
ftpクライアント(WindowsXP付属のftpコマンドとMacromedia Contribute 3で確認)で、
abc.htmlをアップロードしてからブラウザで
http://hostname/~Username/abc.html
にアクセスすると、
Forbidden
You don't have permission to access /~UserName/abc.html on this server.
Apache/1.3.33 Server at hostname.local Port 80
とエラーが出ました。
そこでTeraTerm Proでログインして、abc.htmlに"chmod o+r"を行うと、ブラウザからのアクセスが可能になりました。
しかし、新しいページをアップロードするたびにTeraTermでログインしてchmodを行うのでは、あまり面白くありません。
アップロードするだけでOS X側のファイルにo+rの権限が立つようには出来ないでしょうか?
http://hostname/~Username/index.htmlには、最初からo+rの権限が立っていました。
FileVaultは切になっています。 >>244
ありがとうございました。
頂いた情報をヒントにして、ContributeでWebサイト接続ウィザードをやり直してみました。
すると、
FTPサーバ側のファイルのアクセス許可の設定が、Contributeで必要なアクセス許可と
異なっています。ファイルとフォルダをアップロードするときに、Contributeによって適切な
アクセス許可への変更が試行されます。
と表示され、新しくページを作成したときに、g+wとo+rの権限が追加されるようになりました。
# ただ、今度は逆に、どう設定すれば前と同じ動作になるのか分からなくなりました^^;
このまま、サーバの設定はいじらず、Contributeの動作に依存することにします。
# なぜg+wが「適切」なのかも良く分かりません^^;
なお、実際にどんなumaskが設定されているか調べてみたところ、以下の通りでした。
・WindowsXPのftpコマンドで"umask"と入力すると、"Invalid command."と表示された。
・Macのターミナルで"ftp localhost"して、"umask"を入力するとcurrent UMASKが027である旨が
表示された。 man 5 ftpd.conf で
umask class [umaskval]
Set the umask to umaskval. If class is ``none'' or umaskval is not
specified, set to the default of 027.
だそうな。
/etc/ftpd.conf に umask all 777
とか書けば良いんじゃ無い?
チャウチャウ、
× /etc/ftpd.conf に umask all 777
○ /etc/ftpd.conf に umask all 011
とか?テキトーな事言ってすいません。
このカキコもテキトーです。 外付けHDD領域を公開したいのですがシンボリックリンクで外部領域を指定してあげるとForbidden
になります。apacheのconfファイルをいじればどうにかなりますでしょうか? あるとき(おそらくPHPを動かす為にAddModuleとかhttpd.conf/username.confをいじった辺り)から、
Options ExecCGI、AddHandler cgi-script cgiなどの基本的な設定やパーミッション等全て行っているのにも関わらず、
CGIがPerl/Ruby共に動作しなくなりました。しかもInternalServerErrorを返すのではなく、Plain Textとして表示されます。
SSIのEXECで読み込んでいる場所にはCGIのスクリプトがそのまま記載されてしまっています。
AddTypeか何かが狂っているのかと思いましたがhttpd.conf、username.conf共にcgiに関して余計な設定はされていません。
CGIが実行されずにPlain Textとして返ってくる問題は何度か味わったことがありますが、今回は自力で解決出来ませんでした。
どうかアドバイスをお願い致します。 >>250
ScriptAlias の設定では動作するの?
動作するなら、やっぱりAddHandlerじゃないかなあ
しないなら LoadModule かな。 スレッドを初めから読むと、セキュリティに関してあまり論議されておらず
素人なりに可能な限り勉強して調べてみた。以下の10項目がそれ。間違っていたら修正よろしく。
1:サーバ用には管理者権限のないアカウントを使用し、タスクごとに別々のアカウントを作成する
これで攻撃者がサーバに侵入したとしても、手に入るのはサーバの権限だけになる。
しかし、Apacheシステムの権限はrootユーザだけにする。
Apacheシステムへのアクセスを許可したら、すべての実行権限を与えてしまうから。
2:すべてのアカウントは、FileVault:オン、安全な仮想メモリ
ファイアウォール:ステルスモード、UDPトラフィックをブロック
NetBarrier:サーバモード
3:「ライブラリ/WebServer」のところしか使用しない。
すなわち、ユーザフォルダのサイトは使用しない。(FileVaultが使用できなくなるし)
cgiは元より使用しないか、使用するにしてもCGI-Excutables内だけにする。
4:不要な情報は表示しない
サーバの情報、ディレクトリの情報、Webアプリケーション(php等)の情報を非表示にする。
5:PHPは使用しない
セキュリティホールのありすぎるWebアプリケーションだから。
4:外部からユーザフォルダ等を覗かれないために、想定しているリクエストだけ処理するようにする。
エラー等が起こると、思わぬところを表示してしまうことがある。
5:画像を外部から使用されないようにする
エラー用画像として透明GIFを使用して、エラーなのかどうなのかすら相手側に判別しづらくする。
6:悪用防止の為にサンプルプログラム削除する
例「usr/local/apache/cgi-bin」「htdocs」「manual」
7:アクセス可能なIPを制限し、ダイジェスト認証を設け、
https(SSL)通信でログインID&パスワードを入力させる。
8:総当たり攻撃がされた時に管理者にメール通知されるようにする
9:パーミッションを正しく設定する
.html .jpg等は、444か644 さらにロックしておく
10:apacheを最新版にする なんだかわからないからやばそうなとこは厳重にしておこう、か。
それはそれで結構だが、なんだかわからないとこを放置するほうが問題。 >>253
一番目の4「不要な情報は表示しない」は、例えば php というWebアプリケーションがあれば、
Web サーバのバージョンや含まれているモジュールを見て、ワーム攻撃を仕掛けられる。
(もちろんphpは、クロスサイトスクリプティング攻撃を受けるから元々使わない方針だが)
また、オライリー「Apacheセキュリティ」p36-37によれば、
サーバの情報を非表示にしないと、インストールプロセスで使用した電子メールアドレスが
外部から確認されてしまうと述べており、それは攻撃者にとって価値のある情報となる。
二番目の4「外部からユーザフォルダ等を覗かれ」は、同書p290にあるのだが
サーバは認識できないファイル拡張子を検出すると、
それをテキストファイルであるとみなし無条件に渡してしまう、と書かれている。
どこを表示してどこを表示しないかを設定すれば、回避できるらしいが・・
それでも非表示にしているだけで、保護はできていない。
「ユーザフォルダ/サイト」を使わずに「ライブラリ/WebServer」だけを使用した方がよい、
と書かれた記事を読んだ記憶がある。これがどういう意味だがいまだにわからない・・
例えば「ユーザフォルダ/サイト」を使えば、FileVaultを使用できなくなるわけだが・・
その他、オライリーの本では「ライブラリ/WebServer/Documents」で
設定次第で、html だけでなく cgi等も使用可能にできると解説しているが
これはセキュリティ上、行うなと警告している。以下、追加。
11:SSLは経路を保障するだけ。
SSLは情報通信の経路を保障するだけで、「中間者攻撃」を受ける可能性がある。
やはり、内容文自体を暗号化するしかなく、pgp netshare を使用すれば暗号化できそうだが
あいにく pgp netshare は Mac に対応していない。
12:ルータとサーバは有線ケーブルでつなげる
ルーターー有線ーーサーバ用PC
|
有線ーーAirMacーー無線ーーサーバ用でないPC
最近、興信所の連中が無差別に無線LAN盗聴をしまくってるから
AirMacの無線でサーバ用PCにつなげるのは、やめた方がいい。
通常、無線電波は平文(生データ)で通信するから、
傍受されたらすべておしまいになる。WEP暗号化もあるが13秒で解読できる。
最新のAirMac ExtremeではWPA2暗号化通信が搭載されているが
結局のところ有線で繋ぐのが一番安全だろう。
一応、ルータはBBR-4HGかSRT-100で、全セキュリティ機能の使用を想定。
#素人がApache関係の記事を流し読みして適当にまとめたものなので
読解を誤っている場合もあるだろうし、悪しからず。 そこまでびびりながら鯖なんて立てなきゃいいのに。
とんでもないブスが防犯ベル持ったり、女性専用車両に乗るような滑稽さを覚える。
>>257
この感情は、恐怖ではなく、憎悪によって支えられている。
つまり、興信所の様な連中には一銭たりともやりたくねえ、という感情がある。
そのためには、タダでは情報をやらないセキュリティを構築する必要がある。
ちなみに、サーバを立てるのは自分ではなく、身内や友人を想定している。
興信所は、対象者のセキュリティが固くて突破できない場合、
対象者の友人を狙って、そこから嫌がらせをする。
友人が
「サーバを立てたい」と考えているときに
「立てるな」とは、さすがに言えないが
「セキュリティ上、こうした方がいい」とは言える。
そういう場合に備えて、Apacheをやるつもりはなくても、
Apacheセキュリティについて知っておく必要がある。
自分が直接的に潰されるのではなく
関係のない周囲の人間が潰されていくのは、本当にみるに耐えないぞ。
てか、セキュリティの指摘で間違っているところがあれば
指摘してもらいたいんだが、そういうのはないんかい。 長くて面倒
つーか、ユーザー=管理者なら自由にやればよし
phpだって必要なら使ってよし。 配慮のないヤシが鯖を立てることに対して、どうこういう輩がいるけど、あれはキモイ。
テメーの鯖が被害を受けないだけの対策を講じればいいだけのこと。 他人に使わせるときは細心の注意を払うことは必要だとは思う
まあ自宅鯖でレンタルもそうないか。
一人で使う場合は、ログも見ないで放置するのはまずいかな。 やばいくらい無防備にしてると、意外となにもやられない なにもやられない、とやられても気づかない、は似てる Netbarrierのサーバモードは、Mac OSXサーバ関連の本で紹介されているから理解できる。
しかし、この他に、導入すべきセキュリティソフトはないのだろうか。
たとえば、80ポートしか開いていないサーバに、アンチウイルスソフトを導入する意味はあるのだろうか?
メールサーバであれば、ウイルススキャンエンジンとして導入されるアンチウイルスソフトがある。 >>252
2.サーバーなのに、複数のアカウントを作るの?
5.Yahoo!もphpを使っているが、Yahoo!のサイトは穴だらけだとでも?
4.FileVaultをかけているから、ユーザーフォルダの中身は見えない。
はじめまして。
Mac OSX severで自宅サーバー(趣味)を立てているものなのですが
ここのところサーバーが頻繁に80ポートを使って
「retro.xxx-it.com」とかいうところへ、自動でアクセスを
試みているようなのですがこれは俗にいうボットウイルスとかいうものに
感染したからでしょうか?現在、ファイアウォールで上記IPアドレスへの
送信に蓋をしている状態なのですが、ログを見みるとやはり頻繁にアクセスを
試みているようなのです。(壁、ログ監視にはNetBarrierを使ってます)
何か解決方法はございませんでしょうかorz
フリーのClamXav等でウイルスのチェックをしてみてもよいと思ったのですが
OSX Serverにはインストールができなそうな気配なので、、
(OSX SeverにClamXavをインストールしていらっしゃる方はいますか?)
どうのようにしたらよいものか路頭に迷っております。 >>266
×路頭に迷っています
○途方に暮れています
ClamAVはfinkにClamAVってパッケージがあるから、
一応そこからインストールは出来るよ。
パッケージが古かった気もするけど。
「retro.xxx-it.com」はどうやって調べたの?ログやコマンドだったら、
そのものに近いもの(IPAddressや個人情報などをつぶしたもの)を
はった方がよいと思う。
OSXserverから「retro.xxx-it.com」の80/tcpに接続している?
その他、まず、sudo -s して、lsof -i -n -P や netstat -anなども
確認したいかな。
その他、MacOSXserverのバージョンは?
10.4だと、MacOSXServer自体にclamavが入っていて、
最近のClamXavを入れた場合も、MacOSXserverに入っている方の
clamavを見に行ってたと思う。メール関係の設定でclamavの更新設定
ができたと思う。必要があれば、パターンファイルの更新関連は、
/private/etc/spam/clamav/freshclam.confで設定。clamav
自体は、メールのフィルタだけでなく、コマンド:clamscanとして
実行することもできるよ(手動でのパターン更新はfreshclam)。
関連ログは、多分、/var//log 配下か、/Library/Logs配下に
あるとおもう。
その他、rootkit関係だと、chkrootkit(darwinportに入ってる)、
Rootkit Hunter(ソースから)は動くと思う。
ttp://www.chkrootkit.org/
ttp://jp.chkrootkit.org/
ttp://www.rootkit.nl/projects/rootkit_hunter.html
>>268
>「retro.xxx-it.com」はどうやって調べたの?ログやコマンドだったら、
>そのものに近いもの(IPAddressや個人情報などをつぶしたもの)を
>はった方がよいと思う。
「コマンドの実行結果やログそのもの」という意味ね。
早々のレスありがうございます。
>>267さん
「途方に暮れてます」ですね。
知障でご迷惑かけます;
OSのバージョンを提示してませんでした。
Mac OS X Server 10.4.10です。
ですのでClamAVは既にインストールされているのですね。
>>268さん
>「retro.xxx-it.com」はどうやって調べたの?
えと、integoの「Net Barrier」というファイアウォールソフト内で
壁の出入りをログで見れるのでそこのIPから名前解決もできるので、
その一部をつぶしたものをこちらに貼らせてもらいました。
>OSXserverから「retro.xxx-it.com」の80/tcpに接続している?
>その他、まず、sudo -s して、lsof -i -n -P や netstat -anなども
>確認したいかな。
もうしわけないです。まだOSX Server(およびMac OS)を導入して日も浅いため、
そのようなログの調べ方も熟知していないのですorz
よろしかったら何卒、ご助言・教授いただきたいのですが、
お願いできませんでしょうか・・。
>>268さん
>ClamXavを入れた場合も、MacOSXserverに入っている方の
>clamavを見に行ってたと思う。
>clamav自体は、メールのフィルタだけでなく、コマンド:clamscanとして実行することもできるよ
それはマジでございますか。
これは別途ClamXavをインストールせずともOSX Server 10.4以上の場合に
何かしら手を加えればメールのスキャンだけでなくHDボリューム全体のスキャンも
可能となるという認識でよろしいのでしょうか。
それにはfreshclam.confのファイルをターミナル等というものから
いじる必要があるという感じでしょうか。
未熟者で申し訳ない。 >>268
結局、トロイの木馬対策としてアンチウィルスが必要なのがわかった。
2006-09-19 インテゴ・ジャパンが、サーバ用アンチウイルス・ソリューションを発表
ttp://www.act2.com/news/release/?fn=1158628726.xml
ウイルスバリア サーバ
ttp://www.act2.com/products/intego/vb_server_mg/
があるが、sophpsの方が高性能かも。
ttp://www.sophos.co.jp/products/small-business/sophos-security-suite/ やべ、レス番間違った。>>268じゃなくて>>266ね。 常時接続プロバイダがアクセス禁止中で、ダイアルアップで書き込み中です。
>これは別途ClamXavをインストールせずともOSX Server 10.4以上の場合に
>何かしら手を加えればメールのスキャンだけでなくHDボリューム全体のスキャンも
>可能となるという認識でよろしいのでしょうか。
はい。
>それにはfreshclam.confのファイルをターミナル等というものから
>いじる必要があるという感じでしょうか。
そうですね。できれば、Unix系の勉強もした方がよいと思います。
Unix系の設定変更は、miエディタなどでも可能とは思いますが、
ターミナルとviに慣れるのがよいと思います。
設定変更前に設定ファイルのバックアップを取ったり、
うまく動かない場合には設定ファイルを戻したり...とUnix系の
話になります。
MacOSXServerの場合、「サーバ管理」、「ワークグループマネジャ」
など GUI からの設定変更をした方がよいものも多いので、注意が
必要です。
freshclamの方は、「サーバ管理/メール」配下あたりで起動
の設定はできた記憶が。更新間隔などの設定は、freshclam.conf。
clamscanの方は、shell scriptを作ってcronから定期実行など。
「サーバ管理」と Unix 系の設定と両方やることになります。
(最初は、DebianのようなシンプルなLinuxの方が調べやすいかも?)
>>「retro.xxx-it.com」はどうやって調べたの?
>えと、integoの「Net Barrier」というファイアウォールソフト内で
>壁の出入りをログで見れるのでそこのIPから名前解決もできるので、
>その一部をつぶしたものをこちらに貼らせてもらいました。
で、「retro.xxx-it.com」は、接続先?接続元?また、この文字列自体が、
ログに表示されてたのかな?(つぶした名前?)DNSの方を調べてみると、
dig -t a retro.xxx-it.com
dig -t ns retro.xxx-it.com
dig -t soa retro.xxx-it.com
としても、IPAddressの情報が見つからないよう(接続先だとすると、
接続できない、接続元だとすると、存在しない〜成り済まし?)だけど。 >>274 名前:267,268 []
268,269 でした。 >>272さん
ありがとうございます。
sophpsなんていうセキュリティソフトもあるのですね。
やはり私のような症状はトロイの木馬感染確定ということでしょうか?orz
できればフリーのもので手がかかっても間に合わせたいところなのですが、
最悪、セキュリティソフトの購入も考えなきゃですよね..
>>274さん
お手数おかけします。
>はい。>できれば、Unix系の勉強もした方がよいと思います。
はいっ。先程AMAZONで見つけました「Mac OS X v10.4 Tiger―UNIX的徹底活用講座 (単行本) 」でも
購入しまして、勉強をしていこうと思います。(miのエディタでも設定変更は可能なのですね。)
>freshclamの方は、〜
たしかにサーバ管理/メール/フィルタ内に自動でウイルスデータベースを
アップデートしてくれている部分がありました。これが「freshclam」ですね。
>clamscanの方は、shell scriptを作ってcronから定期実行など。
「clamscan」というものを使って肝心のボリューム等のスキャンができるということですが、
そのシェルコマンドの実行方法は難しいのでしょうか。
差し付けなければ教えていただきたいのですが・・(合掌
再三教えて君で申し訳ない。。
>「retro.xxx-it.com」は、接続先?接続元?
私のサーバーからの「接続先」です。(少し過去のログを見てみましたがretro.xxx-it.com→自分の鯖へのアクセスは見あたりませんでした)
retro.alt-it.comというところはブラウザからも普通にアクセスできるところみたいです。
情報提供、ほんとうに助かります;
ありがとうございます。 追記です。少し思い出したことが...
たしかApachの設定を変えるのに
sudoやpicoなどのコマンドを使ってファイルの書き換えを
する。ぐらいの事はしたことがあります。
例のスキャン方法などは更に敷居の高いものでしょうか。 >>276
sophos (ソフォス)な。これも誤字ってた。ちなみに、あまり役に立てそうにないが
ターミナルは「キーボード入力を保護する」にしておかないと、キーロガーにやられるぞ。
Root権限でポートに進入する形跡を検出するRootkit Hunterというのものある。 >>278
感謝です。
早速、忘れないうちにターミナルを立ち上げまして
「キーボード入力を保護する」にしておきました。
Rootkit Hunterも私のような馬鹿者でも
使えるような感じでしたら是非導入してみたいと思います。 >>277
>追記です。少し思い出したことが...
>たしかApachの設定を変えるのに
>sudoやpicoなどのコマンドを使ってファイルの書き換えを
>する。ぐらいの事はしたことがあります。
picoに慣れているのなら、それでもよいかと。
>例のスキャン方法などは更に敷居の高いものでしょうか。
clamscanにサーチpathが通っているとして、
clamscan -r /Users/ユーザ名
といった感じ(clamscanのパスを調べて、ターミナルで実行して見てください)
なので、man clamscanやgoogleで調べてみてください。
こういったものをこのままcronnixで登録すると、定期実行できるかもしれません。
ttp://www.versiontracker.com/dyn/moreinfo/macosx/9478
>>「retro.xxx-it.com」は、接続先?接続元?
>私のサーバーからの「接続先」です。(少し過去のログを見てみましたが
>retro.xxx-it.com→自分の鯖へのアクセスは見あたりませんでした)
>retro.alt-it.comというところはブラウザからも普通にアクセスできるところみたいです。
retro.alt-it.comを検索すると、こんなページがありました。
ttp://pp.hillrippers.ch/
「iStat menus」というツールのサイトwww.islayer.netの
ホスティグ先がretro.alt-it.comだとか。
この記事を書いてる人は、「心配することもない」的に
書いてるようです(ソフトの更新を確認に行くなど?〜
本当に心配しなくてよい?)。
alt-it.com自体、alternativeit.comにのってるようなのです。
何か、ソフトを入れてしまってたりしませんか?
>>280
ありがとうございます。
サーチパスというものが元々通っていたみたいなので
ターミナルからclamscan -r で無事にスキャンすることができました。
とりあえず各ユーザーのディレクトリにスキャンをかけてみましたが
スキャン結果のところにはinfected File 0 とのこと。
他にUNIX系のOSで感染・または設置されやすい場所みたいなのはあるのでしょうか。
「cronnix」。とても便利そうなので是非使ってみたいと思います。
>retro.alt-it.comを検索すると、こんなページがありました。〜
特に最近になってアプリケーションをインストールした記憶はないです。
しかし3分毎にサーバーから送信があるので不審でしかたありません。
逆にファイアウォールで「retro.xxx-it.com」に対する送信をブロックさせている
・臭い物に蓋をしている状態がみたいなのが良くないのでしょうか。
(ソフトの更新を確認に行くなどだった場合)
しかし、元々はブロックしていない状態でも頻繁に謎の送信があったために、
ブロックにした経緯もあるのでなんとも私には判断ができず。。
嗚呼・・・!今調べ直してみたのですけど、
http://www.islayer.net/のサイトにある「iStat Pro」というソフトを
サーバーにインストールしていました・・・。
今、ファイアウォールを開きましてiStat Pro(ウェジェット)を起動させたところ。
A newer version of istat Pro is available, Download it now?
というダイアログが飛び出しましたのでこのソフトの影響かもしれません。。
本当に×2ご迷惑おかけしました。
とりあえず新しいバージョンを落としてから暫く様子をみてみたいと思います。
夜分遅くに失礼します。
新しいバージョンをアップし、「Check for updates」という項目があったので
そこをOFFにしましたが、やはり数分おきにこちらからあちらにアクセスすることを
辞めようとはしません。。orz
ここはアンインストールするべきでしょうか。
CPUの熱やファンの回転数などを見るときに使っているのですが。 おはようございます。
昨晩、就寝前にボリューム全体(Boot Campも含めた)
をスキャンしてみた結果が以下です。
----------- SCAN SUMMARY -----------
Known viruses: 95549
Engine version: 0.88.5
Scanned directories: 39621
Scanned files: 217433
Infected files: 33
この感染していると思われる33のファイルは
OS X Severのメール設定(freshclam)側で
感染ファイルを削除するにチェックがついているので自動的に削除されたのですか?
それとも該当するファイルを見つけて手動で削除したほうがいいのでしょうか。
(「感染ファイルを隔離して通知メールをする」というチェック項目もありましたがデフォでは削除になってました)
ターミナルに表示されたログを見て感染ファイルを調べようとしたのですが、
スキャンしたファイル数が多く、手前のログしか表示されていなかったので
それらしきモノを一つも確認できませんでした。ちなみに感染したファイルにはターミナルでどのような記述に
なっているのでしょうか。Infected filesとかFound filesみたいな感じで表示される感じでしたら
馬鹿なわたくしにでも解るのですが。
でしょうかでしょうかと何度もすいません(礼 まだretro.altの件は謎のままなのですが
皆さんのご意見とググった結果を合わせまして、なんとか管理していけそうな気がしてきました。
とりあえず下記の方法(ClamXavのインストールと設定)からも試してみようと思います。
ttp://homepage.mac.com/yuji_okamura/iblog/DotMac/Tips/C1181169702/E20060429010224/index.html
また、進展がありましたら、この場で発言させてもらいますです。
本当に助かりました。(謝礼 >>279
Rootkit Hunterは、rootkit (クラッカーが遠距離操作を行うソフト)、
backdoor (クラッカーが不正侵入を行なうための裏口)、
exploits (システムの弱点をつく不正プログラム) をスキャンする。以下、インストールの手順。
(1) rkhunter-1.2.9.tar.gz をダウンロード
(2) rkhunter-1.2.9.tar.gz をユーザフォルダに移動
(3) ターミナル起動
(4) ターミナル:ファイル → キーボード入力を保護する (キーロガー対策)
(5) tar zxvf /Users/貴方のアカウント/rkhunter-1.2.9.tar.gz と入力
(6) cd /Users/貴方のアカウント/rkhunter-1.2.9 と入力
(7) sudo ./installer.sh と入力
#usr(ホームフォルダにあるユーザフォルダのことではない)に、
localというフォルダがないため、インストールが失敗する場合があるが、
これは、usrにlocalというフォルダを作成すればインストール可能になる。
(1) ターミナル起動
(2) sudo /usr/local/bin/rkhunter
(3) sudo /usr/local/bin/rkhunter -c --createlogfile と入力
リターンキーを押していけば、スキャンしていく FileVaultは、暗号化されたホームフォルダを作成するが、その暗号化されたホームフォルダの
アカウントでログインしている最中は、暗号が解かれている状態であり、外部から盗読できる
状態になる。したがって、管理者アカウントをFileVaultで暗号化した状態を保ちながらWeb共
有するためには、管理者権限のない別アカウントを作成し、そのアカウントでログインし、PC
を起動し続けることである。管理者権限のない別アカウントで、WebServer内のファイルを作
成すれば、WebServerを乗っ取ったとしても、管理者権限のないアカウントしか手に入らない。
管理者権限のないアカウントでは、システムを乗っ取ることはできず、WebServerだけしか乗っ
取られない。
管理者アカウント:FileVaultで暗号化
別アカウント:起動用
フォルダ:ライブラリ/WebServerのみ利用 トロイの木馬とは、ギリシャ神話のトロイア戦争で、敵を欺くためにギリシャ軍が
置いていった内部が空洞になった木馬のこと。この木馬の中に兵士が隠れていて、
夜になると木馬から出て、城の門を内部から開ける。こうして、城外から味方の軍
勢を引き入れたといわれているあぼーんする。このように、トロイの木馬とは、外
部からの操作を可能にする「バックドア」という侵入口を内側から作る。主に、
メールの添付ファイルやプログラムに潜んでいる。この対策として、トロイの木馬
を検出可能なアンチウィルス と Rootkit Hunter を導入が必要なわけ。
Norton AntiVirus (トロイの木馬対策)
Rootkit Hunter (侵入検知)
ターミナル:キーボードの入力を保護する
FileVault:オン 安全な仮想メモリを使用する:オン
ファイアウォール:オン ステルスモード:オン
NetBarrier:サーバモード(セキュリティレベル:強力)ステルスモード:オン
最低でもこれ。 >>285,286,287さん
はxっ。
追加で助言をいただいていたのですね。
ありがとうございます。。
Rootkit Hunter。
rootkit (クラッカーが遠距離操作を行うソフト)、
backdoor (クラッカーが不正侵入を行なうための裏口)、
exploits (システムの弱点をつく不正プログラム) をスキャンする。
とても良さそうですね。
手順までご丁寧に掲示してくださって・・(感泣
早速インストールしてみます。
FileVaultは現在無効にしてます。
やはり別アカウントを作り有効にしておくべきでしょうか。
>NetBarrier:サーバモード(セキュリティレベル:強力)ステルスモード:オン
早速、NetBarrierの項目内にあるアンチバンダルから
オプション→フィルタリングのところのステルスモード(Ping応答禁止)
にチェックをいれてみました。
ファイアウォールの設定はサーバーモードではなくカスタム設定で
使用するポート(メール、DNS、Web、AFP等..使いそうなもの)以外のものは
全てブロックする形にしております。これでは問題ありますでしょうか。
私のNetBarrierにはサーバモード(セキュリティレベル:強力)という項目が
ないのですがこれは旧いせいでありましょうか。
たしかNorton AntiVirus (トロイの木馬対策)の代わりに
ClamX AVでは木馬対策にはならないのでしたよね。
兎も角、サーバー管理の最低の基準にまでなんとか
漕ぎつきたい次第であります。 お世話になります。
OS X Server 10.4へWebmin(Userminを使用したい)をインストールしようと
思っているのですがOS X Serverの管理と干渉してしまわないか不安です。
特にそのような心配は特にないのでしょうか。
ググってもそのような情報が見つけられませんでした。
よろしくお願いします。 CPAN経由でPerlのモジュールをインストールしようとしているのですが、大量のエラーが出てインストールできません。
モジュールはXML::Parserなど一般的なものなのですが、何かMac特有の注意点などあるのでしょうか?
ちなみにOSは10.3.9と10.4.10で、Perlのバージョンは5.8.1と5.8.8です。
エラーの内容も「**のパスがわからない」というものから「**の**行目でエラーコード**が」のようなものまで様々出ていて、どう対処していいのか困っています。 本来ならひとつひとつのエラーを検証していくべきなのかもしれませんが、ネットで調べてみる限り、
他の方は比較的スムーズにインストールできているようなので、何かやり方に間違いがあったのかと気になっています。
ちなみにPerl関連の構成はOSをインストールした時から手を加えていません。 OS付属の物はとりあえずおいといて別フォルダにperlそのもののインストールからやれば? >>290さん
だ、大丈夫なのでしょうか。
(・∀・)ニヤニヤが気になりますw
信じますよ。 根性ねーなー
普通に入れて操作してる分には危害はなし。
俺の経験ではphp5を入れる時失敗して再インスコしたくらい。
Webminでhttpd.confを弄くり倒さないとそこまではいかない、ハズ。
ちなみに失敗するとサーバー管理でApacheを再起動しても
失敗してもうだめぽw (・∀・)ニヤニヤ >>297
ありがとうございます。
とても参考になりました。
根性無しですいませんorz
クローンディスク作ってから
インスコしてみますです。 なんか設定したい項目が山ほど
殆ど名前忘れたが…><
・圧縮
・多重ドメインのサーバ
・複数コネクション制限
とか 公開サーバーを立てる際、
ゲートウェイサーバーって必要なものなのですか?
調べてみても主に何をおこなっているのかわかりませんです(馬鹿 多分ルータとかFWとかNAPTとかロードバランシングをやるサーバじゃないでしょうか<ゲートウェイサーバ >>301
ttp://e-words.jp/w/E382B2E383BCE38388E382A6E382A7E382A4.html
自宅なら、代わりを、PPoEルーターがやってるだろ。
>>302
>>303
あ、なるほどです。
ちなみにゲートウェイをルーターでやった場合と
ある程度の性能をもったPCでやった場合とでは
主にどんなところで有利なのでしょうか。
やはりそれなりのPVなどがある場合はPCにやらせて方が良いのでしょうか。
ちなみに現在わたくしはMNシリーズ(NTT)のルーターを使ってます。
安価のルーターよりはだいぶマシだとは思うのですが。
質問ばかりしてしまってすいませんです。 うちは当時8万くらいで買ったRTX1100ってルータ使ってますが、
8000円くらいで売ってるそこらの中古PCをルータにした方が早いです。
IPNuts等のルータアプライアンスを使わない、という話であれば
多少スキルがいるのと、電気代がかかるのがPCルータの欠点でしょうか。
逆にPCルータの長所は、早いし安いし好きな機能を積めるし
ステートフルインスペクションとかのFW的な機能も安価にできることかなぁ。 >>306
スレ違いですいません。
なるほど。
ファイアウォールはわかりますがステートフルインスペクションも
PCで設定することができるのですか、何か特別なソフトでもインストールする感じですかね。
とりあえずはこのままMNルータで運営してみます。
ありがとうございました。 >>288
そうですね。NetBarrierはカスタムで、必要なポートだけ開いて後は閉じるのが最善ですね。
80ポートだけを開くなら、以下のような設定になります。
発信元 宛先 サービス
自分のコンピュータ インターネット すべて 拒否
インターネット 自分のコンピュータ 80 (web) 許可
インターネット 自分のコンピュータ すべて 拒否
ClamXavでもトロイの木馬は検出できたのではないでしたっけ。
Norton AntiVirusの使用は、好みによるものです。
数日前、FreshClamDaemonをインストールし試してみたのですが、便利でいいですね。
監視ファイルを設定しておけば、定期的に自動でウィルスチェックしてくれますし、
自動でウィルス定義ファイルをアップデートしてれます。
ただ、自動アップデートがセキュリティホールになるから
NetInfoマネージャで設定を変更する必要がある。
後はApacheやルータの設定で、セキュリティを向上させることでしょう。
参考サイト ttp://www.atmarkit.co.jp/flinux/
・アクセス制限(.jp .netだけ許可=日本のIPだけ許可)
.httaccesではなくhttpd.confで設定する方が安全
・ディレクトリ非表示
・直リン防止
・悪用防止の為に削除すべきサンプルプログラム usr/local/apache/cgi-bin
htdocs manual
・ダイジェスト認証(ベーシック認証だとパスワードが生のまま送信されるので危険)
・SSL
・Robot.txt
・外部から画像を使用されるのを防止する
・キャッシュ拒否 <META HTTP-EQUIV=Pragma CONTENT=no-cache>
・サーバの情報非表示 /etc/http/conf/httpd.conf
ServerSignatureで検索し、ServerSignature Offにする。
改行して、ServerTokens ProductOnlyと追加。
・エラーページ作成
・パーミッション
.htm .html 604 .php 604 jcode.pl 644 cgi .pl .rb 700
dat .log 600 (Perl/CGI) #PHPの場合606 フォルダ 701 10.4から10.5に上書きアップデートしたら
それまでのサイトが表示されなくなりました
だれか10.4時代のサイトが見られようにする方法を教えてください >310
OS X 10.4の場合
/private/etc/httpd/httpd.conf
/private/etc/httpd/users/各ユーザーの.conf
OS X 10.5の場合
/private/etc/apache2/httpd.conf
/private/etc/apache2/users/各ユーザーの.conf(これはOS X 10.4のをcpすればOK)
脳内完結してるんだろ
とても初心者スレとは思えないような突っぱね方 311じゃないが
cp /etc/httpd/httpd.conf /etc/apache2/httpd.conf
cp -R /etc/apache2/users /etc/apache2/users
じゃ駄目なの? ごめ、、、
大元のhttpd.confはバージョン違いでだめかも 前のが残ってるなら、とりあえず前のhttpdを起動すればいいのでは。
質問があまりにも簡潔だと、回答するほうも簡潔になるよなw 設定ファイルってどうやって変更している?
rootアカウントを有効にしてる? sudoでGUIのテキストエディタは起動させる方法はありませんか?
Linuxだとsudo gedit xxx.confでできるのですが、Macで同様のことはどのようにやるのでしょうか? >320
これ使えば簡単だよ
ttp://personalpages.tds.net/~brian_hill/pseudo.html
このアプリからそのGUIテキストエディタを起動してあげればOK 10.5でApacheを使いたいと考えています。
http://127.0.0.1/
は見れるのですが、
http://127.0.0.1/~UserName/
だとパーミッションエラーが起きます。
/Users/UserName
/Users/UserName/Sites
どちらも777にしてもエラーになってしまいます。
原因わかりますでしょうか? 2.2系って空ディレクトリは403じゃなかったっけ 〉323
Sitesディレクトリにはindex.htmlがあります。