Linux で自宅サーバ [ Home Server Techncial ]

>>トップページに戻る

BBS 過去ログ No.0007に戻る

タイトル: httpd.confの設定について質問です
記事No: 2016
投稿日: 2004/05/13(Thu) 13:17
投稿者: tama
分かる方がおられましたら、どうかよろしくお願いします。

/home/*/public_html でもSSIを使用可能にするために、
httpd.confの設定で、少しきになる部分ががあったので質問させてください。

httpd.conf の435行目付近の
<Directory /home/httpd/html>

</Directory>
までは

<Directory /home/httpd/html>
Options Indexes IncludesNoExec FollowSymLinks MultiViews
AllowOverride AuthConfig Limit
Order allow,deny
Allow from all
</Directory>

となていますが

/home/*/public_htmlでもSSIを使えるようにするために

httpd.conf の470行目付近の
UserDir public_html
の部分の

#<Directory /home/*/public_html>
# 〜
#</Directory>

の文頭にある
# の部分を取り

<Directory /home/*/public_html>
AllowOverride FileInfo AuthConfig Limit
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
<Limit GET POST OPTIONS PROPFIND>
Order allow,deny
Allow from all
</Limit>
<Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Order deny,allow
Deny from all
</Limit>
</Directory>

としたら、/home/*/public_html でもSSIが使用可能になったのですが、
ここで疑問がひとつ出てきましたので、又質問させて下さい。

UserDir public_html の

<Limit GET POST OPTIONS PROPFIND>
Order allow,deny
Allow from all
</Limit>
<Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Order deny,allow
Deny from all
</Limit>

のこの二つは、どういった意味があるのでしょうか?

<Directory /home/*/public_html>
AllowOverride FileInfo AuthConfig Limit
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Order allow,deny
Allow from all
</Directory>

と言う感じではダメなんでしょうか?

一応、目標のSSIを使用可能になったのですが、意味も分からず使うのは、駄目かと思い質問させていただきました。

お手数ですがどうかよろしくお願いします。

タイトル: Re: httpd.confの設定について質問です
記事No: 2019
投稿日: 2004/05/13(Thu) 16:44
投稿者: ALPHA   <alpha@alpha.ne.jp>
URL: http://www2.alpha.ne.jp/
> UserDir public_html の
>
> <Limit GET POST OPTIONS PROPFIND>
> Order allow,deny
> Allow from all
> </Limit>
> <Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
> Order deny,allow
> Deny from all
> </Limit>
>
> のこの二つは、どういった意味があるのでしょうか?
>
> <Directory /home/*/public_html>
> AllowOverride FileInfo AuthConfig Limit
> Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
> Order allow,deny
> Allow from all
> </Directory>
>
> と言う感じではダメなんでしょうか?
>
> 一応、目標のSSIを使用可能になったのですが、意味も分からず使うのは、駄目かと思い質問させていただきました。

この部分はアクセス制限に関するものです。
文法的には上記で問題なく動作はします。
意味は最初の<Limit GET POST OPTIONS PROPFIND>は
GET POST(通常ブラウザーで見にくるときはGET、CGIなどデーターを
送るときにPOSTを利用したりする)などで見に来たものに関しては
Order allow,deny
allow(アクセス可),deny(アクセス禁止)
Allow from all
なので基本は全てアクセスさせ、一部アクセス不許可にしなさいです。
本来は次にアクセスさせたくないIPやドメインを
deny 192.168.0.1
などのように書き込めばそのIPからはブラウザーなどで
見ることが出来なくなります。
※OPTIONS PROPFINDはちょっとわたしには意味がわかりません。

<Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>は
Order deny,allow
deny(アクセス不許可),allow(アクセス可),
deny from all
なので先ほどと逆、全て不許可、一部設定したもののみ許可を与えるものです。
PUT、COPYなどはコマンドの類なのかな、ちょっと推測です。
PUTやCOPYなどで見に来たものは全てアクセス禁止
何かの都合で一部のIPやドメインでアクセスさせたいときには
続けて
allow from 192.168.0.1
などでアクセスできるようにします。

Orderでallowとdenyの順は
Order allow,deny
まずは許可するものを設定し、次にアクセス禁止のものを設定するという意味です。
Order allow,deny
deny from all
allow 192.168.0.1
にすると
192.168.0.1を許可した後、
全てを禁止するになるのでallowで許可した192.168.0.1も
含め全てアクセス不可能になります。
逆に
Order deny,allow
allow from all
deny 192.168.0.1
だと、禁止してから許可するものを設定していますので
192.168.0.1をアクセス禁止、その次に全ての物をアクセス許可にしているので
192.168.0.1でもアクセス可能になります。

以上のことから
Order allow,deny
deny from all
だけでもアクセスさせる分に関しては問題ありませんが
<Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>で禁止しているものも含めすべて許可する形になります。
セキュリティーを考えるなら
削らずに全て書き込んでおいたほうが無難です。

タイトル: 大変参考になりました。
記事No: 2023
投稿日: 2004/05/13(Thu) 17:58
投稿者: tama
ALPHAさん本当に有難うございます。
大変参考になり、勉強させていただきました。

<Limit GET POST OPTIONS PROPFIND>
Order allow,deny
Allow from all
</Limit>
<Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Order deny,allow
Deny from all
</Limit>

この2行は、セキュリティーを考えて削らずに全て書き込んでおくことにします。

本当に有難うございました。
これに懲りず、これからも何かありましたら、御指導を宜しくお願いいたします。

▲ページの最上部に戻る

Copyright© Home Server Technical. All Right Reserved.
webmaster@miloweb.net