nolixさん あっ…… そうでしたorz 訂正ありがとうございます。 あれ、何で勘違いしたんだろ…

>まじめですよ。 >実際調べて見てください。 >グレーからブラックのエロサイトはまだ1.3系使ってますよ。 そのことに対して「マジで言っているのか?」って言ったのではなくて 古くてもサポートされているもの(Apache1.3系)とサポートが完全に終了しているもの(Fedora10)を比べることをマジで言っている?といったわけ。 Apacheがつい最近までサポートされていてそれでサポート終了しても重大なセキュリティーに対しては対処する可能性を示唆していると書いたから理解できるだろうと思ったけど >実際、securityホール、bugへの対応はfedoraが一番速いですよ。 でもサポート終了も一番早いですよ。各バージョンのサポート期間がほぼ1年ほどしかないですから >実際のサーバー運営でyum-updateなんてしませんよ。 いやいやRHELのクローンである優位性で自ビルドしたrpmパッケージは使うメリットがないので yum updateはしますよ。ただしいきなり本番環境ではなくてテスト環境で試して検証して 問題がないことを確認してからですけどね。 >私も他の方と同じで主要なpkgはrpmbuildしてます。 >現在、7000objects以上公開してます。リポジトリにはしてません。特殊ですので・・・ >opensslの選択から、mysql,postgresql,hpptd,bind,php,proftpd,sshのrpmbuildは当たり前です。 正直言ってCentOSやSLを利用するのにはRHELのクローンであるということが大きいんですよ。 だからこそRHELに含まれているrpm群を利用せずに自分でパッチ当てしてrpmを作るのは 純粋なクローンではなくなってしまってクローンを使うメリットが無くなるんですよね。 自分でパッケージを管理してやるならRHELのクローンではなくてSlackware使った方が効率いいんですよね。 それと自分でビルドしているならvsfrpd使っているならは注意しろよ。 http://slashdot.jp/security/article.pl?sid=11/07/06/0512206 >私もプロの端くれですからクラックされたかどうかすぐにわかりますよ。 巧妙なものは調査しないとわからないのですぐにはわからないけどそれすらすぐわかるなんでいいですね。 すぐにわかるものは気がつくけど巧妙なものはすぐには気がついてないだけの気もするけどね。 >プログラミングの「格言」に、「うまく行っているものはそのままに」というような趣旨のものがあったと思います。 >私は何度もＯＳを入れ直して、時間を浪費してしまったと感じています。（その度に、「勉強」にはなったと思いますけど。） >ですから、今回もこのマシンのＯＳにはなるべく手をつけないようにしようという方針でいます。 だったら最初からサポート期間が短いFedoraなんて選ぶなよ。 >質問の内容についてお答えにならないのだったら えっ?回答しているよ。 >なんの冗談?設定ファイルを外部に分割する方法すら知らないほどの素人さん? ほらこれ。これで理解できないほど素人さんだった? http://www.google.co.jp/search?source=ig&hl=ja&rlz=&=&q=apache+%E8%A8%AD%E5%AE%9A%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%80%80%E5%88%86%E5%89%B2&aq=f&aqi=&aql=&oq= こうでも検索すればIncludeって機能があることが理解できるはずなんだけどね。 質問者ってヒントもらっただけでは駄目で1から10まで説明しないと駄目な教えて君ですか?

最後といいながら、他の回答者様の補足です。 http://www.astec-x.com/FAQ/hosts_deny.html はtcp wrapperですので、httpdは無関係じゃなかったです？ inet経由のものしかダメだったと思いますよ。

これで最後にしますね。 >>エロサイトがapache1.3系を使い続けるコダワリはこんなところにあるんですよね。 >マジで言っているの? >http://www.apache.jp/news/apache-http-server-1.3.42 >Apacheの1.3系はつい最近(去年の1月)までサポートされていたんですよ。 >さらに言うとサポートが終了しても >>ただし重要なセキュリティ問題が発生した場合は >> http://www.apache.org/dist/httpd/patches/ >>でパッチが提供されるかもしれません。 >と書かれています。 まじめですよ。 実際調べて見てください。 グレーからブラックのエロサイトはまだ1.3系使ってますよ。 理由は、開発陣が機能拡張しないからバグはでないわけです。 だから、criticalなbug以外は対応する必要が無いわけです。 つまり枯れて安定してるんですよ。 >>ついこの間までredhat7.2を使ってました。別に問題ありませんよ。 >それ気がついてないだけですでに踏み台に利用されていたかもしれないね。 甘いね・・・私もプロの端くれですからクラックされたかどうかすぐにわかりますよ。 bounceが多かったことは事実ですが、responceに影響するほどのbounceではなかったですね。 気にはなりましたが・・・ relayチェックは当たり前ですよ。 マッチポンプ系ブラックリストにすら載ったことがない鯖でした。 実際、securityホール、bugへの対応はfedoraが一番速いですよ。 CentOSの中身みればわかりますがfedoraも一部使われています。 CentOSからscientific linuxへの移行を考えているのはDag氏が抜けたのは大きいですね。 実際のサーバー運営でyum-updateなんてしませんよ。 riskyなのは周知の事実です。 wgetやyum-update, telnet, ftp , tftp, 開発環境は一切入れませんよ。 raid driverが動かなくなるのが一番面倒ですから、kernelのextra version改竄すれば動くことぐらい分かってますけど・・・ 私も他の方と同じで主要なpkgはrpmbuildしてます。 現在、7000objects以上公開してます。リポジトリにはしてません。特殊ですので・・・ opensslの選択から、mysql,postgresql,hpptd,bind,php,proftpd,sshのrpmbuildは当たり前です。 クラックされたことがある方は、どうやってクラックされるのか知っていますからね。 ある特定のコマンドもコマンド自体を変えちゃいますよ。 もともとLinuxにサポートなんかないのと同じですよ。 Dag氏やremi氏のところに行って、自分で選んでspec直して、rpmbuildすることが普通ですから・・・ fedora全体の導入は進めませんが、一部のcriticalなセキュリティホールへの対応は、自分の力量でfedoraのsrcからrpmbuildするくらいのことはしますね。だって対応が一番速いですから・・・ あとは、該当プロジェクトのサイトへ行ってpatchを入手して、spec修正してrpmbuildする。 テスト環境導入後、本番へ採用という経路ですね。 Linuxのサポートを利用するのも手ですが、最終的には自己責任なんですよ。 経験１3年くらいです。Laser5 redhat4.0--->RedHat6.2--->Vine2.1CR--->Vine2.3--->RedHat9.0--->CentOS3.5--->CentOS4.4--->CentOS5.3--->CentOS5.4ってな感じです。 まあ、みんなでスキル上げていきましょうよ！

> ワームの一種のようで、WindowsのWEBサーバーのIISを狙ったものである、という8年程前の記述を見つけました。 それって10年前に流行った、CodeRedやNIMDAじゃないですかね? それについては、以下の記事が10年前に公開されています。 http://www.itmedia.co.jp/help/tips/linux/l0324.html Apacheなども全てそうですが、ログを出力するというのは、案外負荷が高いのです。 それを止めるだけでも、かなり効果はあると見ていいです。 (もう記憶の彼方に飛んで行ってるような昔の話ですね…) > それもいいとは思いますが、それだけでは目隠しをするような感じで、あまりよくないと思います。 アクセスを拒否するのも、同じような気が致しますが… でも、Apacheで拒否するより、もっとレイヤーの低いところで止めれば、負荷も下がると思います。 例えば、以下のものとか。 http://www.astec-x.com/FAQ/hosts_deny.html あとは、No.2さんと同様にiptablesに設定するのも良いです。 ただし、既にiptablesを設定していて、ログを吐き出す設定にされているなら、パケット単位で出力されるので、ログ出力を停止するとか。 > できれば、アクセスを拒否して、その発信元に情報を送り返す労力を使いたくないのです。 サーバの手前に、ファイヤーウォールとか設置してないんですかね? これだと、サーバに影響を与えないようにすることもできますが。 > ただ、もう既に稼動しているサーバを、もう一度一からやり直すのには、それ以上に大変な労力を要します。 でしたら、今のサーバはどうしようもありませんが、今後はFedoraを使わないことですね。 Fedoraを使っているだけで、こういったアクセスは増殖していきます。 なぜかというと、まさにNo.1さんがお答え下さった内容そのままです。 Fedoraは、基本的に「物好き」が使うディストリビューションです。 普通、本番環境では使わないです。 それを新しいディストリビューションが次々と出てくる、すごいディストリビューションと勘違いしている、にわかエンジニアが本番で使ったりするのです。 Fedoraは、CentOSやScientific Linuxの元になっているRed Hat Enterprise Linuxに対して、さまざまな情報をコミュニティーを通じて、Feedbackを行っています。 いわば、FedoraはRHELの実験場的なものなのです。 だから、サポートサイクルも早いし、方針転換されやすくなっているので、たまに混乱が起きるのです。 ちなみに、私はCentOSを8年ほど前から利用して、外部公開しておりますが、そのような攻撃はほとんど受けたことがありません。 もちろん、日頃からいろいろなアクセスがありますが、負荷はほとんど0%です。 netcraftというサイトご存知ですか? そのサイトでは、ドメインを入力すると、簡単にどんなOSを使っているのかわかります。 ここは、悪意のあるサイトではなく、ちゃんとしたサイトなので、お間違いのないように。 ちなみに、Apacheなどでmethodを制限することで、OS情報を取れなくしたりできます。 SSHやTelnet、FTP、SMTP、POP3などに至る全てから情報は採取できますので、敢えて止めておくことで、詳細なOS情報を出さないようにはできます。 何が何でもFedoraを使いたいということであれば、否定はしません。 そこまで拘りがあるのを止めるわけにはいきません。 しかし、インターネットに繋がっている皆様にも迷惑になる可能性もあります。 Fedoraは短期間のサポートしかされませんので、全てのサービスを自前でPatchを当てながら運用するだけの腕と自信があれば、頑張ってやってもらうしかありません。 ちなみに、私はrpmパッケージを毎回作成して、インストール・アンインストールを容易にできるようにして、いつでもバージョンアップやパッチを当てられる体制にしていますので、CentOSのサポートが切れても、大丈夫だと思っています。 (既にScientific Linux 6への検討はしていますが…) > 「/var/log/httpd/error_log」における「File does not exist」が出るようなアクセスを拒否するにはどうすればいいか、というのが私の質問でした。 ログを止めるだけなら、CodeRed、NIMDAの記事を参考にできますが、それを拒否するのは地道な作業になります。 しかし、それに関してはそれほど負荷はかかってないように思いますが、負荷が上がっているのは別の要因の可能性もあります。 いずれにしても、こういった問題は詳細な分析があってこそだと思いますので、負荷のかかり具合や、IPアドレスの傾向なども行って、できるだけ簡単に済ませるのが良いと思います。 > なるべく「Deny from」の行を一行限りにしておきたかったのです。 恐らく、httpd.confの一行あたりの文字数の上限にひっかかっているのでしょう。 Apacheのソースを触れるなら、拡張されると良いと思います。 ヒントは、皆さんの書かれているもの全ての中にあります。 あとは、ご自身でご判断の上、対処してみて下さい。

>エロサイトがapache1.3系を使い続けるコダワリはこんなところにあるんですよね。 マジで言っているの? http://www.apache.jp/news/apache-http-server-1.3.42 Apacheの1.3系はつい最近(去年の1月)までサポートされていたんですよ。 さらに言うとサポートが終了しても >ただし重要なセキュリティ問題が発生した場合は > http://www.apache.org/dist/httpd/patches/ >でパッチが提供されるかもしれません。 と書かれています。 >ついこの間までredhat7.2を使ってました。別に問題ありませんよ。 それ気がついてないだけですでに踏み台に利用されていたかもしれないね。 >opensslやbindなどセキュリティホールの情報が多いパッケージをしっかりつかんで、patchあてれば最新のOSよりも安全という説もあります。 永久ベータ版と言われているFedoraを選定している時点で質問者にそんな力量あると思える? >世間で言われる「上から目線」とはまさにこのことだと思いました。 そう思えるのは君がどれほど迷惑な事をしているか理解してないからだね。 それにしても技術も知識もないのに無理なことをしてそれを注意されると逆ギレする屑が多すぎますね。

追伸です。 私もさすがにサーバーにfedoraは使いませんが、とりあえずiptablesかipchainsでブロックして、CentOSかscientific linuxに乗り換えればよいのではないでしょうか？ fedoraでonchip raidドライバ自体が無いケースが多いので・・・ ipchainsなら以下の様な感じです。 # illegal Access /sbin/ipchains -I input -s 213.216.68.54 -i eth1 -j DENY /sbin/ipchains -I input -s 210.97.110.155 -i eth1 -j DENY /sbin/ipchains -I input -s 162.105.203.25 -i eth1 -j DENY /sbin/ipchains -I input -s 210.204.247.3 -i eth1 -j DENY 批判は簡単なんですよね。 批判から進歩することはないです。

Deny from …… Deny from …… Deny from …… Deny from …… とか数行で書いたらどうなりますか? ところでまず、1000以上もあるIPアドレスを拒否している理由は何でしょう? 不正アクセスですか? error_logのステータスを見てみましょう。 例えば、ありもしないページなどを見ていたり?(404) 権限の無いところを見ているとか?(403) あるルールが存在しているなら、そもそもそういうログを吐かないようにすることだって出来ます。 ログを吐かないようにする? アクセスを拒否する? 目的をまずしっかり決めることが先決ではないでしょうか。 あと、Fedora10というのは… 失礼ながら、No.1さんと同じで、正気の沙汰じゃないと思います。 そのサーバが、何で動いているのかくらい、調べればすぐにわかるので、それだけで攻撃をしてくる輩もいるわけです。 一番良いのは、CentOSなどのメジャーで長い期間サポートをしてくれるOSに切り替えることで、そのようなアクセスも防ぐことができます。 思うに、そもそも、そういうアクセスを防ぐことが第1の目的ではないかと思いますが、いかがでしょうか? これから先も、そうやってコツコツとコストのかかるようなことをしていくのでしょうか? 気楽にサーバ管理したいと思ったりしませんか?

>「/var/log/httpd/error_log」に大量の（数秒毎）の不正と思えるアクセスが記録され、 > そのIPアドレスからのアクセスを制限したいと考えています。 って書いているって事は外部公開しているよな? それなのに >環境は、OSはLinux Fedora10で サポートが終了している&さらにいうと永久ベータ版といわれているFedoraを使うなんて 正気の沙汰とは思えません。 >できれば、「Deny from」の行のIPアドレスを外部ファイルから呼び出したり なんの冗談?設定ファイルを外部に分割する方法すら知らないほどの素人さん? 結局質問者のような無知な人間がクラッカーに絶好の環境(踏み台)をプレゼントしているから >（IPアドレスは1000件以上あります。 こうも大量のIPが発生するのでしょうね。 http://web.archive.org/web/20090130021533/http://tmaeda.s45.xrea.com/20041101.html これでも読んでそれでも無知でサーバ公開を続けるならそうとう無神経なんでしょうね。