top


総投稿数 本 
no_

スポンサーサイト

 --------
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
カテゴリ :スポンサー広告 トラックバック(-) コメント(-)
no_737

セキュリティ対策実践:その1◇php.ini の考察と検討 ・・・ 【この場で管理:セキュリティ対策】

 2009-02-23
 現在私が、関係している運用サイトは14件
 (もちろんこの「創るmetaboy」などのブログなどは
  除いて・・・なんだけど)
 会社、顧客、自身のプロジェクトにおいてだけれど、
 その環境は様々だ。

 未だに一部、
 どうしてもphp4を使わざるを得ないものもあれば
 常に最新のソフトウェア・アップデートを行っているものまで・・・

 忙しいとか時間がないとか言ってはいられない。
 ここで、実際のセキュリティ対策を検討し、
 その状況をここに管理することで
 自身への戒めと警告にしたし。

 これから、テーマ別に
 ・セキュリティ対策を考察・検討し
  ・実際の実践記録を保存するツールを用意することにした
  JavaScriptシート 作成

 ※仕組みとして
  クッキーとJavaScriptを組み合わせたもので用意するので
  見ている皆さんにも利用できるものにしてゆく。

  追記に ▼

※この連載は、
 サイトのセキュリティ対策を「やんなきゃやんなきゃ」
 と思っているmetaboyが、いつも使うこのブログを
 toDoツールにしてしまおう・・・などとこしゃくな考え
 で進める、「皆さんにも使ってもらえる」
  ・サイトセキュリティ対策実践頁
 です。


FC2ブログランキングにほんブログ村 IT技術ブログ Webサイト構築へブログ王ランキング人気ブログランキング人気ホームページランキングへ


more●第1回 さぁ、セキュリティ対策
     もう一度初めから、やり直しだ!

 ・セキュリティ対策を行うに
  ・レベルと範囲を考えれば
   ・OSレベル
    Linux など
   ・WWWアプリケーションレベル
    Apache など
   ・ソフトウェアレベル
    PHP,MySQL,Perl,senmail など
   ・コンテンツレベル
    自身のスクリプト
    利用ライブラリ
    利用オブジェクト、外部ファイル

  などがある。

  まずは身近な
   ・ソフトウェアレベル から始めてゆく
    (使い慣れた)PHP からだ。

**************************************************
◇php.ini の考察と検討 その1
**************************************************

 ■情報整理
 /*------------------------------------------*/
  【PHP.INI】 >> マニュアル参照
   ※phpがサーバー上で動作する際、その挙動について設定を行う
    ファイルであり
    存在する場所は、コンパイル時のオプションにより変わる
    ・UNIX の場合、デフォルトでは /usr/local/lib
     ・コンパイル時、--with-config-file-path オプション
      で場所を変更可能
    ・Windows の場合、デフォルトでは Windows ディレクトリ

   □内容確認
    ・phpinfo関数の利用  >> マニュアル参照
<?php
// すべての情報を表示。デフォルトは INFO_ALL。
phpinfo();
// モジュール情報だけを表示。
// phpinfo(8) としても同じ
phpinfo(INFO_MODULES);
?>



 ■設定項目の考察
 /*------------------------------------------*/
  ※セキュリティ対策に関わる項目

   【open_basedir】(264行目辺り)
    ・phpが参照できる一番高いレベルのディレクトリを設定
open_basedir=/var/www # /var/spool や /var/tmp などにアクセスできなくなる
 >>記述すること!
    □ドット(.)を指定 > 現在のスクリプトが
     おかれているディレクトリ以外 禁止
    □複数の場所を設定 > コロン(:)区切りで記述
     ・実際のリンクだけでなく、シンボリックリンクなどが
       ある場合は、それも加えて記述しないと、利用している場合
       動かなくなる(実体験)

   【register_globals】(463行目辺り)
    ・HTMLフォームから投 稿される変数と同時に、
     あらゆる種類の変数がスクリプトに注入される
register_globals=Off # デフォルトでオフのはずだが
 >>Offにすること!
    □On
     POST値/GET値/Cookie値/サーバ変数/環境変数など、
     そのままグローバル変数になり
     想定したものと違う値で書き換えられてしまう
     ・旧来のプログラムでどうしても、Onでうまく動かない場合
       import_request_variablesなんてのもあるらしいけど・・・

   【expose_php】(307行目辺り)
    ・デフォルトのオンのままだと、HTTPヘッダに
     PHPのバージョンなどが表示されてしまう
    ※Firefox のアドオン「Web Developer Toolbar」で確認できる
expose_php=Off # デフォルトでオンなので
 >>Offにすること!
    □On
Server: Apache/*** (Unix) PHP/4.3.4 mod_ssl/*** OpenSSL/***

     などと表示され、利用しているPHPのバージョンなど知られてしまう

 今回は時間がないので、
 さわりだけ・・・

 今後このファイル自体を、更新してゆき
 情報の充実に努め、実践の記録を残してゆく。

 なお、いくつものサーバーにそれぞれ確実に対応したか
 確認できる、簡単なWEBページを、併せて用意した。
  ・・・Excelでできることなのだけれどね

 ・ブログからいつでも参照できる
 ・記録はデータベースなどではなく、Cookieを利用して
  他の方にも利用できるように
  (こちら側で情報を取得しない・・・ソースみれば瞭然)
 ・参照できるリンクなども用意
  いつでもセキュリティ対策について調べられるような

  JavaScriptシート 作成した。
  JavaScriptシート 作成

 ・この連載と併せて
  内容を拡充してゆきます。
 ・お気に召せば、どうぞお使いください。

セキュリティ対策 実行管理 - やんなきゃセキュリティ対策 - 別にどうというものではないけど
 ・複数のサイトが管理できて
 ・簡単なメモ
  終わってるかどうかのチェックボックス
  があって
 ・phpマニュアルにリンクがある


 ・Actionは、JavaScript で
  クッキー操作しているだけで、
  サーバー側では情報の収集を行わない。

 ※まださわりだけなんだけど、これから充実させます。
  また、ご参照ください。
commentsコメント
comment_post












管理者にだけ表示を許可する
commentトラックバック
トラックバックURL:
http://metaboy.blog23.fc2.com/tb.php/737-cfda2dbd
ようこそ
Add to Google 創るmetaboy:RSSフィード
My Yahoo!に追加
最新記事のRSS | 問い合わせ

仕事検索、アルバイト検索、依頼仕事の検索ポータル - 仕事検索.COM - www.jobkensaku.com ツクルン

創るmetaboy - WEB創る、サイト創る、何創る - 創ったmetaboy

 

リンク集

 

最近の記事

 

ブロとも申請フォーム
Sponserd by

さくらのレンタルサーバ さくらのレンタルサーバ
大容量・高機能レンタルサーバー heteml 大容量・高機能レンタルサーバー heteml
XREA (ValueDomain)
お名前.com お名前.com
名づけてねっと名づけてねっと
ムームードメインムームードメイン

 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。