カテゴリー: WEBサーバ

投稿日:

【WEBサーバ】Apache2SSL導入

  • 秘密鍵作成

    cd /etc/pki/tls/certs
openssl genrsa -aes256 1024 > server.key

    Generating RSA private key, 1024 bit long modulus
......................++++++
............++++++
e is 65537 (0x10001)
Enter pass phrase:パスワード入力
Verifying - Enter pass phrase:パスワード再入力
  • 公開鍵作成

    openssl req -new -key server.key > server.csr

    Enter pass phrase for server.key:パスワード入力
You are about to be asked to enter information that will be incorporated
into your certificate request.
略
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) [Default City]:Akihabara
Organization Name (eg, company) [Default Company Ltd]:OreOreCA
Organizational Unit Name (eg, section) []:z-area
Common Name (eg, your name or your server's hostname) []:z-area.net
Email Address []:空欄
A challenge password []:空欄
An optional company name []:空欄
  • 証明書作成

    openssl x509 -in server.csr -days 36500 -req -signkey server.key > server.crt

    Signature ok
subject=/C=JP/ST=Tokyo/L=Akihabara/O=OreOreCA/OU=z-area/CN=z-area.net
Getting Private key
Enter pass phrase for server.key:パスワード入力
  • 秘密鍵パスワード解除
    現状のままだとApache2の再起動のたびにパスワードを求められるので、
    秘密鍵のパスワードを解除しておきます。

    mv server.key server.key.org
openssl rsa -in server.key.org > server.key

    Enter pass phrase for server.key.org:パスワード入力
writing RSA key
  • Apache2のSSL導入

    yum install mod_ssl
  • Apache2のSSL設定

    cp -pi /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf.org
vi /etc/httpd/conf.d/ssl.conf

    下記内容に変更
#DocumentRoot "/var/www/html"
↓
DocumentRoot "/var/www/html"

#ServerName www.example.com:443
↓
ServerName z-area.net:443


ErrorLog logs/ssl_error_log
↓
ErrorLog /var/log/httpd/ssl_error_log

TransferLog logs/ssl_access_log
↓
#TransferLog logs/ssl_access_log

CustomLog logs/ssl_request_log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
↓
CustomLog /var/log/httpd/ssl_access_log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"


# POODLE SSLv3.0 脆弱性問題対処
SSLProtocol all -SSLv2
↓
SSLProtocol all -SSLv2 -SSLv3

SSLCertificateFile /etc/pki/tls/certs/localhost.crt
↓
SSLCertificateFile /etc/pki/tls/certs/server.crt

SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
↓
SSLCertificateKeyFile /etc/pki/tls/certs/server.key
  • Apache2SSLの動作確認

    echo '<h1>It works!</h1>' > /var/www/html/index.html
/etc/rc.d/init.d/iptables stop
/etc/rc.d/init.d/httpd restart

    https://192.168.XXX.YYY/

    証明書の確認が表示された後、「It works!」が表示されれば正常です。

    /etc/rc.d/init.d/iptables start
rm -f /var/www/html/index.html
投稿日:

【WEBサーバ】Apache2ログ設定

  • Apache2のログ設定

    vi /etc/httpd/conf/httpd.conf

    # エラーログ出力先
ErrorLog /var/log/httpd/error_log

# 通常ログからwormのログを除外
SetEnvIf Request_URI "^/_mem_bin/" nolog
SetEnvIf Request_URI "^/_vti_bin/" nolog
SetEnvIf Request_URI "^/c/" nolog
SetEnvIf Request_URI "^/d/" nolog
SetEnvIf Request_URI "^/msadc/" nolog
SetEnvIf Request_URI "^/MSADC/" nolog
SetEnvIf Request_URI "^/scripts/" nolog
SetEnvIf Request_URI "^/default.ida" nolog

# 通常ログから画像、CSS、JavaScript参照ログを除外
SetEnvIf Request_URI "\.(jpg|png|gif|css|js)$" nolog

# 通常ログから自身の接続ログを除外
SetEnvIf Remote_Addr 192.168.XX. nolog
SetEnvIf Remote_Addr 10.8.0. nolog

# 通常ログからロボットログを除外
SetEnvIf User-Agent "Mediapartners-Google" nolog
SetEnvIf User-Agent "msnbot" nolog
SetEnvIf User-Agent "Yahoo! Slurp" nolog
SetEnvIf User-Agent "Googlebot" nolog
SetEnvIf User-Agent "Ask Jeeves" nolog
SetEnvIf User-Agent "Gigabot" nolog
SetEnvIf User-Agent "BecomeBot" nolog
SetEnvIf User-Agent "Baiduspider" nolog
SetEnvIf User-Agent "TurnitinBot" nolog
SetEnvIf User-Agent "BecomeJPBot" nolog
SetEnvIf User-Agent "Yeti" nolog
SetEnvIf User-Agent "IRLbot" nolog
SetEnvIf User-Agent "ia_archiver" nolog

# 除外していない参照ログを通常ログとしてcombinedレベル(詳細)で出力
CustomLog /var/log/httpd/access_log combined env=!nolog
  • Apache2の動作確認

    echo '<h1>It works!</h1>' > /var/www/html/index.html
/etc/rc.d/init.d/iptables stop
/etc/rc.d/init.d/httpd start

    http://192.168.XXX.YYY/

    「It works!」が表示されれば正常です。

    /etc/rc.d/init.d/iptables start
rm -f /var/www/html/index.html
  • Apache2起動設定

    chkconfig httpd on
chkconfig --list httpd

    ランレベルが2~5でonを確認する。

投稿日:

【WEBサーバ】Apache2設定

  • Apache2のドキュメントルート設定
    基本的な設定は完了したので、次にドキュメントルートの設定を行います。
    Apache2の設定はRaspberry Pi(Debian系)と違って1ファイルにまとまってます。

    vi /etc/httpd/conf/httpd.conf

    下記の設定となるように変更(変更部分または重要部分のみ記載)
# ドキュメントルート
DocumentRoot "/var/www/html"

# 最上位の制御
<Directory />
    Options FollowSymLinks
    AllowOverride None
</Directory>

# ドキュメントルートの制御
<Directory "/var/www/html">
    Options -Indexes FollowSymLinks
    AllowOverride All
    Order allow,deny
    Allow from all
</Directory>

# アクセス制御ファイル名
AccessFileName .htaccess

# ファイル名を指定しない場合の検索優先順位(index.html)
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

# iconsルートの制御
<Directory "/var/www/icons">
    Options -Indexes MultiViews FollowSymLinks
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>
  • welcome.confの無効化

    mv /etc/httpd/conf.d/welcome.conf /etc/httpd/conf.d/welcome.conf.org
  • ドキュメントルートの権限変更

    chown -R ユーザ名 /var/www/html
投稿日:

【WEBサーバ】Apache2導入

  • Apache2導入

    yum -y install httpd
yum list installed | grep httpd

    インストールした内容
httpd.x86_64            2.2.15-39.el6.centos
httpd-tools.x86_64      2.2.15-39.el6.centos

    cp -pi /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.org
vi /etc/httpd/conf/httpd.conf

    下記内容を変更
# サーバ情報表示内容
ServerTokens OS
↓
ServerTokens ProductOnly

# サーバ署名表示内容
ServerSignature On
↓
ServerSignature Off

# サーバー名
#ServerName www.example.com:80
↓
ServerName z-area.net:80