PR
kinada3
はてなブログをはじめました https://iestudy.hatenablog.com/ 調べたことを自分のために残しているブログです。 可能な限り正確な情報を書くようにしていますが、間違っていたり、情報が古くなったりすることがあります。なので、情報の正確性やその他、なにかを保証することはできません。
2026年06月
2026年05月
2026年04月
2026年05月
2026年04月
2026年03月
2026年02月
2026年02月
キーワードサーチ
▼キーワード検索
コメント新着
フリーページ
2019年04月01日
テーマ: セキュリティ全般(61)
カテゴリ: HTTP
Apacheとは
Apacheは1995年に開発が始まり、同年の11月に1.0版がリリースされた。その後、2002年4月5日に2.0.35版がでて、1系、2系の併存が続いた。
1系については、2010年1月にサポートが終了した。
Apacheの歴史
HTTPのURL
http:// www.domain.com:80/html/index.html
http:// スキーム名。使用するプロトコル。
www ホスト名のホスト部
domain.com ホスト名のドメイン部
80 ポート番号
html/index.html パス名
HTTPのリクエストとレスポンス
HTTPでサーバとクライアントがやりとりするメッセージは基本的に以下のような形になっている。
Apache2のインストール(Ubuntuの場合)
自分でソースコードからインストールを行う場合、脆弱性等が確認された際には、更新バージョンのソースコードを取得してコンパイルし、サイドインストールしなおす必要がある。
実行コマンド(インストールからサービス起動まで)
・sudo apt-get install apache2
・sudo service apache2 start
設定ファイル(httpd.conf)
CentOSでは/etc/httpd/conf/httpd.confにファイルがある。
Ubuntuの場合は/etc/apache2/apache2.confが対象ファイルとなる。
また、/etc/httpd/conf.dディレクトリがある場合、当該ディレクトリ配下の.confファイルが追加で読み込まれる。
一般的に、サーバ全体の設定についてはhttpd.confを修正し、追加モジュール等や仮想ホストの設定は上記ディレクトリ配下に設定ファイルを追加して利用する。
また、設定ファイル内では、全体設定と範囲を指定した設定の2種類が記載されている。
・Global Configuration・・・ServerRoot "/etc/apache2"等
・セクションコンテナ設定
ドキュメントルート
Indexes(ファイルの一覧表示機能)
http:// www .domain.jpとhttp:// media .domain.jpをひとつのサーバで受けるようなイメージ。
アクセス制御
Orderディレクティブで設定する。
リンクの制限
Refererのリンク元のURLによりアクセスを制限できる。
SetEnvIf Referer:***
エラーメッセージの変更
httpd.confの末尾に以下の設定を追記することでエラーページを差し替えることが可能。
ErrorDocument 404 /404.html
404:ステータスコード
/404.html:エラードキュメントファイルのパス(ドキュメントルートを起点)
ステータスコードについて
HTTPの認証の仕組み
HTTPの認証はログインやログアウトの状態は保持していない。Web認証が必要なページにアクセスすると、サーバはAuthorization:ヘッダーを確認できないため、認証が必要というステータスをレスポンスで返信する。ブラウザは応答の内容を元に認証ダイアログを表示する。
その後、ユーザが入力した認証情報をAuthorization:ヘッダーにつけてサーバへアクセスする。
ブラウザを閉じるまでは同じAuthorization:ヘッダーをつけてリクエストを送り続ける。
ファイルタイプの定義
Webサーバが保持するデータをクライアントが取得・処理する際には、データの種類を判断する必要がある。データ形式はWebサーバ側で設定されており、MIMEタイプで定義されている。
HTMLファイル:text/html
JPEGファイル:image/jpeg等
CGIについて
Webサーバは通常、特定のファイルの内容をユーザに返すが、CGIを使うことでプログラムの出力結果を返すことができる。
つまり、ユーザはApacheを通じてプログラムを実行し、その結果を受け取っていることになる。
CGIは結果をHTML形式で返す。
CGIを使ってみる
Apacheは1995年に開発が始まり、同年の11月に1.0版がリリースされた。その後、2002年4月5日に2.0.35版がでて、1系、2系の併存が続いた。
1系については、2010年1月にサポートが終了した。
Apacheの歴史
| Apache2.4 | 2012年2月21日リリース |
|---|---|
| Apache2.2 | 2005年12月1日にリリース |
| Apache2.0 | 2002年4月5日にリリース。標準でSSLに対応 |
| Apache1.3 | 1.3.0は1998年7月6日にリリース |
HTTPのURL
http:// www.domain.com:80/html/index.html
http:// スキーム名。使用するプロトコル。
www ホスト名のホスト部
domain.com ホスト名のドメイン部
80 ポート番号
html/index.html パス名
HTTPのリクエストとレスポンス
HTTPでサーバとクライアントがやりとりするメッセージは基本的に以下のような形になっている。
メッセージヘッダ
空行(CR+LF)
メッセージボディ
Apache2のインストール(Ubuntuの場合)
自分でソースコードからインストールを行う場合、脆弱性等が確認された際には、更新バージョンのソースコードを取得してコンパイルし、サイドインストールしなおす必要がある。
実行コマンド(インストールからサービス起動まで)
・sudo apt-get install apache2
・sudo service apache2 start
設定ファイル(httpd.conf)
CentOSでは/etc/httpd/conf/httpd.confにファイルがある。
Ubuntuの場合は/etc/apache2/apache2.confが対象ファイルとなる。
また、/etc/httpd/conf.dディレクトリがある場合、当該ディレクトリ配下の.confファイルが追加で読み込まれる。
一般的に、サーバ全体の設定についてはhttpd.confを修正し、追加モジュール等や仮想ホストの設定は上記ディレクトリ配下に設定ファイルを追加して利用する。
また、設定ファイル内では、全体設定と範囲を指定した設定の2種類が記載されている。
・Global Configuration・・・ServerRoot "/etc/apache2"等
・セクションコンテナ設定
※設定の例
<Directory />
<Directory />
Options FollowSymLinks
AllowOverride None
Require all denied
</Directory>
ドキュメントルート
Indexes(ファイルの一覧表示機能)
<Directory /var/www/>
Options
Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
ユーザごとの公開ディレクトリの設定
たとえばユーザのホームディレクトリにある「public_html」を公開ディレクトリにすることができる。
ディレクトリ:/home/enokinada/public_html/index.html
URL:http://www.server.com/~enokinada/index.html
仮想ホスト
Apacheの機能で、複数のサイトを一台のサーバで運営するための機能。デフォルトでは、ドキュメントルートで有効になっている。この場合、Webサーバの公開ディレクトリに直接アクセスを行うと、ディレクトリ内に存在するファイルの一覧が表示され、ディレクトリ内のファイルの一覧を取得することが可能となる。その場合、以下のような情報が流出するリスクがあげられる。
- 公開を意図しないファイル
- バックアップファイル
- 一時ファイル
- 隠しファイル(ドットで始まるファイル名のファイル)
- ファイルの命名規則
- 設定ファイルによるサーバ設定情報
- スクリプトファイルによるサーバ内部処理情報
ユーザごとの公開ディレクトリの設定
たとえばユーザのホームディレクトリにある「public_html」を公開ディレクトリにすることができる。
ディレクトリ:/home/enokinada/public_html/index.html
URL:http://www.server.com/~enokinada/index.html
仮想ホスト
http:// www .domain.jpとhttp:// media .domain.jpをひとつのサーバで受けるようなイメージ。
アクセス制御
Orderディレクティブで設定する。
リンクの制限
Refererのリンク元のURLによりアクセスを制限できる。
SetEnvIf Referer:***
エラーメッセージの変更
httpd.confの末尾に以下の設定を追記することでエラーページを差し替えることが可能。
ErrorDocument 404 /404.html
404:ステータスコード
/404.html:エラードキュメントファイルのパス(ドキュメントルートを起点)
ステータスコードについて
サーバーからブラウザに返してくるコードのことをステータスコードという。
- 100番台 案内(インフォメーション)
- 200番台 正常処理
- 300番台 移転通知
- 400番台 (クライアントにおける)処理失敗
- 500番台 サーバエラー
| 100 | Continue | その時点までのすべてに問題がなくクライアントはリクエストを継続してよい、またもしリクエストが完了している場合は無視してよいことを示す。 |
| 101 | Switching Protocol | このコードはクライアントの Upgrade リクエストヘッダーのレスポンスとして送信され、サーバーはプロトコルを切り替えていることを示します。 |
| 102 | Processing (WebDAV) | このコードは、サーバーはリクエストを受け取って処理しているが、まだレスポンスを提供できないことを示します。 |
| 200 | OK | リクエスト成功 |
| 201 | Created | リクエストは成功し、その結果新たなリソースが作成されたことを示します。これは一般的に、 POST リクエストや、一部の PUT リクエストを送信した後のレスポンスになります。 |
| 301 | Moved Permanently | このレスポンスコードは、リクエストされたリソースの URI が変更されたことを示します。おそらく、新しい URI がレスポンス内で与えられるでしょう。 |
| 400 | Bad Request | このレスポンスは、構文が無効であるためサーバーがリクエストを理解できないことを示します。 |
| 401 | Unauthorized | HTTP 標準では "unauthorized" (不許可) と定義されていますが、意味的にはこのレスポンスは "unauthenticated" (未認証) です。つまり、クライアントはリクエストされたレスポンスを得るためには認証を受けなければなりません。 |
| 403 | Forbidden | 認証されていないなどの理由でクライアントにコンテンツのアクセス権がなく、サーバーが適切なレスポンスの返信を拒否していることを示します。 401 とは異なり、クライアントの識別子がサーバーに知られています。 |
| 404 | Not Found | サーバーがリクエストされたリソースを発見できないことを示します。 |
| 500 | Internal Server Error | サーバー側で処理方法がわからない事態が発生したことを示します。 |
| 502 | Bad Gateway | このエラーレスポンスは、リクエストの処理に必要なレスポンスを受け取るゲートウェイとして動作するサーバーが無効なレスポンスを受け取ったことを示します。 |
HTTPの認証の仕組み
HTTPの認証はログインやログアウトの状態は保持していない。Web認証が必要なページにアクセスすると、サーバはAuthorization:ヘッダーを確認できないため、認証が必要というステータスをレスポンスで返信する。ブラウザは応答の内容を元に認証ダイアログを表示する。
その後、ユーザが入力した認証情報をAuthorization:ヘッダーにつけてサーバへアクセスする。
ブラウザを閉じるまでは同じAuthorization:ヘッダーをつけてリクエストを送り続ける。
ファイルタイプの定義
Webサーバが保持するデータをクライアントが取得・処理する際には、データの種類を判断する必要がある。データ形式はWebサーバ側で設定されており、MIMEタイプで定義されている。
HTMLファイル:text/html
JPEGファイル:image/jpeg等
CGIについて
Webサーバは通常、特定のファイルの内容をユーザに返すが、CGIを使うことでプログラムの出力結果を返すことができる。
つまり、ユーザはApacheを通じてプログラムを実行し、その結果を受け取っていることになる。
CGIは結果をHTML形式で返す。
CGIを使ってみる
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/15ad7a85.ca05defb.15ad7a86.6ce3d8dc/?me_id=1278256&item_id=11593198&m=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Frakutenkobo-ebooks%2Fcabinet%2F0229%2F2000000160229.jpg%3F_ex%3D80x80&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Frakutenkobo-ebooks%2Fcabinet%2F0229%2F2000000160229.jpg%3F_ex%3D240x240&s=240x240&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
|
できるPRO Apache Webサーバー 改訂版 Version 2.4/2.2/2.0対応【電子書籍】[ 辻 秀典 ]
楽天で購入
|
お気に入りの記事を「いいね!」で応援しよう
[HTTP] カテゴリの最新記事
-
HTTPのリクエストとレスポンスをみてみた 2018年02月19日
-
短縮URLについて 2018年02月15日
【毎日開催】
15記事にいいね!で1ポイント
© Rakuten Group, Inc.
