Product SiteDocumentation Site

11.2. ウェブサーバ (HTTP)

Falcot Corp 管理者は Debian Wheezy に含まれるバージョン 2.2.22 の Apache HTTP サーバを使うことに決めました。

ALTERNATIVE 他のウェブサーバ

Apache は最も広く知られている (最も広く使われている) ウェブサーバですが、他にもウェブサーバは存在します; これらのサーバは僅かな負荷で高い性能を発揮しますが、利用可能な機能やモジュールが少ないという欠点も持っています。しかしながら、ウェブサーバを静的ファイルを提供する用途やプロキシ用途で使う場合、nginxlighttpd などの代替品は調査する価値があります。

11.2.1. Apache のインストール

デフォルトで、apache2 パッケージをインストールすると Apache の apache2-mpm-worker バージョンがインストールされます。apache2 パッケージははメタパッケージであり、Apache バージョンの 1 つがが実際にインストールされていることを確保するためだけに提供されています。
The differences between the variants of Apache 2 are concentrated in the policy used to handle parallel processing of many requests; this policy is implemented by an MPM (short for Multi-Processing Module). Among the available MPMs, apache2-mpm-worker uses threads (lightweight processes), whereas apache2-mpm-prefork uses a pool of processes created in advance (the traditional way, and the only one available in Apache 1.3). apache2-mpm-event also uses threads, but they are terminated earlier, when the incoming connection is only kept open by the HTTP keep-alive feature.
Falcot の管理者はさらに Apache で PHP サポートを有効化するために libapache2-mod-php5 をインストールします。こうすることで、apache2-mpm-worker が削除され、代わりに apache2-mpm-prefork がインストールされます。なぜなら、 PHP はこの MPM の下でしか動かないからです。

SECURITY www-data ユーザ下の実行

デフォルトで、Apache は入って来るリクエストを www-data ユーザからのリクエストとして取り扱います。これは、Apache が実行する CGI スクリプト (動的ページ) の持つセキュリティ脆弱性によって、システム全体が危険に晒されるのではなく、特定のユーザが所有するファイルだけに被害を留めることが可能であることを意味しています。
suexec モジュールを使うことで、このルールを迂回することが可能です。こうすることで、一部の CGI スクリプトを別のユーザの権限で実行することが可能です。設定を行うには、Apache 設定ファイルの SuexecUserGroup usergroup 指示文を使います。
もう一つの可能性は、例えば apache2-mpm-itk の提供する MPM などの、専用 MPM を使うことです。この専用 MPM の挙動は少し異なります: これは仮想ホストを「隔離」し、各仮想ホストを異なるユーザの権限で実行します。このため、あるウェブサイトの持つ脆弱性によって、他のウェブサイトの所有者の持つファイルが危険に晒されることが無くなります。

QUICK LOOK モジュールのリスト

Apache の標準的なモジュールをオンラインで見ることが可能です。
→ http://httpd.apache.org/docs/2.2/mod/index.html
Apache はモジュール式サーバで、多くの機能が外部モジュールによって実装されており、主プログラムは初期化の際に外部モジュールを読み込みます。デフォルト設定では、最も一般的なモジュールだけが有効化されていますが、新しいモジュールの有効化は a2enmod module を実行するだけで簡単に行うことが可能です; モジュールを無効化するコマンドは a2dismod module です。実際のところ、これらのプログラムは /etc/apache2/mods-enabled/ 内に実際のファイル (/etc/apache2/mods-available/ 内に保存されている) を指すシンボリックリンクを作成 (削除) しているだけです。
Apache のデフォルト設定では、ウェブサーバはポート 80 番をリッスンし (/etc/apache2/ports.conf の中で設定されています)、/var/www/ ディレクトリに含まれるページを提供します (/etc/apache2/sites-enabled/000-default の中で設定されています)。

GOING FURTHER SSL サポートの追加

Apache 2.2 には、すぐに使える安全な HTTP (HTTPS) に必要な SSL モジュールが含まれます。これを有効化するには、a2enmod ssl を使い、必要な指示文を設定ファイルに追加しなければいけません。設定例は /usr/share/doc/apache2.2-common/examples/apache2/extra/httpd-ssl.conf.gz で提供されています。
→ http://httpd.apache.org/docs/2.2/mod/mod_ssl.html
Perfect Forward Secrecy を使った SSL 接続を優先したい場合、一部の特別な注意が必要です (これらの接続は一時的なセッション鍵を使い、サーバの秘密鍵が漏洩した場合でもネットワークをスニッフィングすることで保存される可能性がある古い暗号化されたトラフィックの内容が漏洩しないことを保証します)。特に Mozilla の推奨する設定例を御覧ください:
→ https://wiki.mozilla.org/Security/Server_Side_TLS#Apache

11.2.2. 仮想ホストの設定

仮想ホスト機能を使うことで、ウェブサーバに復数の身元を運用させることが可能です。
Apache は異なる 2 種類の仮想ホストを取り扱うことが可能です: IP アドレス (またはポート番号) またはウェブサーバのドメイン名に基づいて仮想ホスト機能が実装されています。1 番目の方法を使う場合、各サイトに異なる IP アドレス (またはポート番号) を割り当てることが必要です。これに対して、2 番目の方法を使う場合、単一の IP アドレス (またはポート番号) で復数のサイトを運用することが可能で、HTTP クライアントの送信するホスト名によってサイトを識別します (こちらの方法は HTTP プロトコルのバージョン 1.1 で動作します - 幸いなことに、バージョン 1.1 は全てのクライアントが対応していると考えて良い程度に古いプロトコルです)。
IPv4 アドレスは (ますます) 不足し続けているため、通常 2 番目の方法が好まれます; しかしながらこの方法では、仮想ホストが HTTPS を提供する必要がある場合、より複雑です。なぜなら、SSL プロトコルは常にホスト名に基づく仮想ホスト機能を規定しているとは限らないからです; そのような組み合わせを可能にするSNI 拡張 (Server Name Indication) は全てのブラウザで正しく使えるとは限りません。1 つのサーバで復数の HTTPS サイトを運用する必要がある場合、HTTPS サイトは通常異なるポートを使うか、異なる IP アドレスを使う (IPv6 が役立ちます) ことで識別されます。
The default configuration for Apache 2 enables name-based virtual hosts (with the NameVirtualHost *:80 directive in the /etc/apache2/ports.conf file). In addition, a default virtual host is defined in the /etc/apache2/sites-enabled/000-default file; this virtual host will be used if no host matching the request sent by the client is found.

CAUTION 最初の仮想ホスト

不明な仮想ホストに関する要求は最初に定義された仮想ホストへの要求として処理されます。このため 管理者は www.falcot.com を最初に定義しています。

QUICK LOOK Apache の SNI サポート

Apache サーバは Server Name Indication (SNI) と呼ばれるSSL プロトコル拡張をサポートします。SNI 拡張を使うことで、ブラウザは SSL 接続を確立する間の HTTP 要求よりもずっと前にウェブサーバのホスト名を送信することが可能になり、同じサーバ (同じ IP アドレスとポート番号を使う) でホストされているホストから要求された仮想ホストを識別します。これを使うことで、Apache は以降のトランザクションで最も適切な SSL 証明書を選びます。
SNI の前に、Apache は常にデフォルトの仮想ホストの定義する証明書を使います。他の仮想ホストへのアクセスを試行するクライアントは警告を表示するかもしれません。なぜなら、クライアントが受け取った証明書はアクセスしようとしているウェブサイトと一致しないからです。幸いなことに、ほとんどのブラウザは SNI を取り扱うことが可能です; Microsoft Internet Explorer バージョン 7.0 以降 (かつ Vista 以降)、Mozilla Firefox バージョン 2.0 以降、Apple Safari バージョン 3.2.1 以降、Google Chrome のすべてのバージョン。
Debian の提供する Apache パッケージは SNI サポートを有効化した状態でビルドされています; 通常のポート 80 番と同様にポート 443 番 (SSL) でホスト名に基づく仮想ホスト機能を有効化することを除けば、特別な設定は不要です。/etc/apache2/ports.conf を編集して、以下の内容を含めるだけで簡単に設定することが可能です: 
<IfModule mod_ssl.c>
    NameVirtualHost *:443
    Listen 443
</IfModule>
最初の仮想ホスト (デフォルトで使われる) に対する設定で TLSv1 を有効化することを忘れないで下さい。なぜなら、Apache は安全な接続を確立するためにこの最初の仮想ホストのパラメータを使うため、パラメータで安全な接続を許すべきです!
仮想ホストを追加するには、/etc/apache2/sites-available/ にファイルを追加します。falcot.org ドメインで運用されるウェブサイトをセットアップするには、以下のファイルを作成し、a2ensite www.falcot.org を使って仮想ホストを有効化するだけで簡単に可能です。

例11.16 /etc/apache2/sites-available/www.falcot.org ファイル

<VirtualHost *:80>
ServerName www.falcot.org
ServerAlias falcot.org
DocumentRoot /srv/www/www.falcot.org
</VirtualHost>
ここまでの設定に従うと、Apache サーバは全ての仮想ホストに対して同じログファイルを使います (仮想ホストの定義に CustomLog 指示文を追加すればこの挙動を変えることが可能です)。そのため、ログファイルのフォーマットをカスタマイズして、仮想ホストの名前を含むようにすることが道理にかなっています。これを行うには、/etc/apache2/conf.d/customlog ファイルを作成して全てのログファイルに対する新しいフォーマットを定義します (LogFormat 指示文を使います)。また、/etc/apache2/sites-available/default ファイルから CustomLog 指示文を削除 (またはコメントアウト) しなければいけません。

例11.17 /etc/apache2/conf.d/customlog ファイル

# New log format including (virtual) host name
LogFormat "%v %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" vhost

# Now let's use this "vhost" format by default
CustomLog /var/log/apache2/access.log vhost

11.2.3. よく使われる指示文

このセクションでは、幾つかのよく使われる Apache 設定指示文を簡単に見直します。
主要設定ファイルには幾つかの Directory ブロックが含まれます; これを使うことで、提供されるファイルの位置に従って、サーバの挙動を変えることが可能です。Directory ブロックには通常 OptionsAllowOverride 指示文が含まれます。

例11.18 Directory ブロック

<Directory /var/www>
Options Includes FollowSymlinks
AllowOverride All
DirectoryIndex index.php index.html index.htm
</Directory>
DirectoryIndex 指示文には、クライアントからディレクトリを要求された場合に応答として送信するファイルのリストを指定します。リスト内の最初に見つかったファイルが、応答として使われます。
Options 指示文には、有効化するオプションを指定します。None 値は全てのオプションを無効化します; 対して AllMultiViews を除いて全てのオプションを有効化します。利用可能なオプションは以下です:
  • ExecCGI は CGI スクリプトが実行可能なことを意味します。
  • FollowSymlinks を使うことで、シンボリックリンクを辿ることが可能であること、リンク先の内容を応答として返すことをサーバに伝えます。
  • SymlinksIfOwnerMatch を使うことで、シンボリックリンクとリンク先が同じ所有者の場合に限り、シンボリックリンクを辿ることが可能であることをサーバに伝えます。
  • Includes を使うことで、Server Side Includes (略して SSI) が有効化されます。SSI は HTML ページの中に埋め込まれ、各要求毎にその場で実行される指示です。
  • Indexes を使うことで、クライアントの送信した HTTP 要求が index ファイルの含まれないディレクトリを指している場合 (例えば DirectoryIndex 指示文でリストされているファイルがこのディレクトリ内に存在しない場合)、ディレクトリの内容をリストすることをサーバに伝えます。
  • MultiViews を使うことで、コンテンツネゴシエーションが有効化されます; サーバはこれを使って、ブラウザで設定した優先言語に一致するウェブページを返します。

BACK TO BASICS .htaccess ファイル

.htaccess ファイルには、Apache 設定指示文が含まれます。その設定内容は、.htaccess ファイルが保存されているディレクトリに含まれる要素が要求された時に、強制されます。指示文の有効範囲は .htaccess が保存されているディレクトリ以下全てのサブディレクトリです。
Directory ブロック内に書かれたほとんどの指示文は .htaccess ファイル内でも使うことが可能です。
AllowOverride 指示文は .htaccess ファイルを使って有効化または無効化された全てのオプションをリストします。このオプションは一般に ExecCGI を制限するために使われることが多いです。管理者はウェブサーバ (www-data ユーザ) の権限でプログラムを実行することを許可するユーザを選択します。

11.2.3.1. 認証要求

ウェブサイトのある部分へのアクセスを制限し、ユーザ名とパスワードに基づく正当なユーザだけが内容にアクセスできるように設定する必要があるかもしれません。

例11.19 認証要求を行う .htaccess ファイル

Require valid-user
AuthName "Private directory"
AuthType Basic
AuthUserFile /etc/apache2/authfiles/htpasswd-private

SECURITY 無意味なセキュリティ

上の例で使われている (Basic) 認証システムは最低限のセキュリティを提供します。パスワードは平文で送信されます (パスワードは暗号化よりも単純な符号化である base64 で符号化されるだけです)。この認証システムで「保護」されている文書はネットワークを平文で送信される点も注意するべきです。セキュリティが重要な場合、HTTP 接続全体を SSL で暗号化するべきです。
/etc/apache2/authfiles/htpasswd-private ファイルには、ユーザとパスワードのリストが含まれます; このファイルを操作するには通常 htpasswd コマンドを使います。例えば、以下のコマンドを使うことで、ユーザを追加するかユーザのパスワードを変更します: 
# htpasswd /etc/apache2/authfiles/htpasswd-private user
New password:
Re-type new password:
Adding password for user user

11.2.3.2. アクセス制限

Allow fromDeny from 指示文を使うことで、あるディレクトリへのアクセスを制御 (とサブディレクトリへのアクセスを再帰的に制御) します。
Order 指示文を使うことで、Allow fromDeny from 指示文を評価する順番をサーバに伝えます; 最後に一致したものが優先されます。具体的に言えば、Order deny,allow を使うと、Deny from に一致しないホストまたは Allow from に一致するホストからのアクセスを許可します。反対に、Order allow,deny を使うと、Allow from に一致しないホスト (または Deny from に一致するホスト) からのアクセスを拒否します。
Allow fromDeny from 指示文には、IP アドレス、ネットワーク (例えば 192.168.0.0/255.255.255.0192.168.0.0/24192.168.0 など)、ホスト名、ドメイン名、全員を意味する all キーワードを使うことが可能です。

例11.20 デフォルトで拒否して、ローカルネットワークからのアクセスを許可する例

Order deny,allow
Allow from 192.168.0.0/16
Deny from all

11.2.4. ログ解析ソフトウェア

ウェブサーバには、通常ログ解析ソフトウェアがインストールされます; なぜなら、ログ解析ソフトウェアを使うことで、管理者はウェブサーバの使用形態に関する正確な知見を得ることが可能だからです。
Falcot Corp 管理者は AWStats (Advanced Web Statistics) を使って Apache ログファイルを解析することに決めました。
最初に /etc/awstats/awstats.conf ファイルをカスタマイズして設定を行います。Falcot 管理者は以下のパラメータだけを修正し、他はそのままの状態にしています: 
LogFile="/var/log/apache2/access.log"
LogFormat = "%virtualname %host %other %logname %time1 %methodurl %code %bytesd %refererquot %uaquot"
SiteDomain="www.falcot.com"
HostAliases="falcot.com REGEX[^.*\.falcot\.com$]"
DNSLookup=1
LoadPlugin="tooltips"
これらのパラメータに関する説明はテンプレートファイルにコメントとして書かれています。特に、LogFileLogFormat パラメータを使って、ログファイルの場所とログファイルに含まれる情報の書式を指定します; SiteDomainHostAliases は主要ウェブサイトに与えられている復数の名前をリストします。
トラフックの多いサイトでは、通常 DNSLookup1 に設定するべきではありません; トラフィックの少ないサイトでは、Falcot の設定と同様に、DNSLookup を設定することで、解析結果に生 IP アドレスではなく完全なマシン名が含まれるようになり、読みやすくなります。

SECURITY 統計へのアクセス

AWStats は統計をウェブサイト上で利用可能にしており、デフォルトでは統計へのアクセスは制限されていません。しかし、ごく少数の (おそらく内部の) IP アドレスだけがアクセスできるように制限をかけることも可能です; アクセスを許可する IP アドレスのリストは AllowAccessFromWebToFollowingIPAddresses パラメータで定義する必要があります。
他の仮想ホストに対して AWStats を有効化することも可能です; 各仮想ホストに対して、/etc/awstats/awstats.www.falcot.org.conf などの設定ファイルを作ってください。

例11.21 仮想ホスト用の AWStats 設定ファイル

Include "/etc/awstats/awstats.conf"
SiteDomain="www.falcot.org"
HostAliases="falcot.org"
AWStats は /usr/share/awstats/icon/ ディレクトリに保存されている多くのアイコンを使います。ウェブサイトでこれらのアイコンを使えるようにするためには、以下の指示文を Apache の設定に追加する必要があります: 
Alias /awstats-icon/ /usr/share/awstats/icon/
数分後 (スクリプトを複数回実行した後)、結果をオンラインで見ることが可能になります:
→ http://www.falcot.com/cgi-bin/awstats.pl
→ http://www.falcot.org/cgi-bin/awstats.pl

CAUTION ログファイルの循環

統計は全てのログに対して取られるため、Apache ログファイルが循環される直前に AWStats を実行する必要があります。/etc/logrotate.d/apache2 ファイルの prerotate 指示文から判断すると、これを解決するには、/usr/share/awstats/tools/update.sh へのシンボリックリンクを /etc/logrotate.d/httpd-prerotate に作成します: 
$ cat /etc/logrotate.d/apache2
/var/log/apache2/*.log {
  weekly
  missingok
  rotate 52
  compress
  delaycompress
  notifempty
  create 644 root adm
  sharedscripts
  postrotate
    /etc/init.d/apache2 reload > /dev/null
  endscript
  prerotate
    if [ -d /etc/logrotate.d/httpd-prerotate ]; then \
      run-parts /etc/logrotate.d/httpd-prerotate; \
    fi; \
  endscript
}
$ sudo mkdir -p /etc/logrotate.d/httpd-prerotate
$ sudo ln -sf /usr/share/awstats/tools/update.sh \
  /etc/logrotate.d/httpd-prerotate/awstats
logrotate によって作成されたログファイルは誰でも、特に AWStats から、読み取り可能にしておく必要があります。上の例では、(デフォルトの 640 パーミッションの代わりに) create 644 root adm 行を追加することでこれを実現しています。