「Security Tips」記事一覧
WEBコンテンツホルダーを/var/www以外の場所にするとエラー
2018/03/29
2019/12/23
もうご存知の方は沢山いると思いますが、Linuxのインストール直後はSELinuxが有効になっており、デフォルト以外のフォルダーを使用するとエラーが生じたりします。SELinux 実行中のシステム上では、すべてのプロセスとファイルにセキュリティー関連の情報を表示するラベルが付けられようにできています。尚この情報は、SELinux コンテキストと呼ばれており使用するプロセス(アプリケーション)により...
WEBからメール送信(SMTP)する際に「permission denied」が出たときの対処
2018/03/27
2019/12/23
ホームページからメールを送信する仕組みを作る場合、専用サーバで構築するとよくありがちなissueは、「permission denied」が出ること。つまりsmtp送信非許可ということなのですが、通常このようなエラーはsmtpプロトコルでは発生しません。これがでたらセキュリティの何かに引っかかる問題があるということが推測できたら正解です。ずばりインストール直後のLinuxはSELINUXが有効にな...
delegated Reverse Proxy SSL接続 ワンライナーWEBサーバとの連携にどうぞ!
2018/03/13
2019/12/23
昔からある和製ProxyサーバDelegated Proxy Server。海外のオープンソースがひしめく中で高機能で堅牢なProxyサーバです。他のProxy Serverにはない機能が沢山あり使う度にこんなこともできるんだと感心することもあります。今回の投稿ではこの和製ProxyサーバでSSL接続する方法を紹介したいと思います。まずはdelegated proxyサーバをダウンロードしましょう...
画像アップロードに於けるセキュリティ対策
2017/09/12
2019/12/23
WEBサイトのセキュリティ対策の中でも重要なのが画像のアップロード時の不正対策だ。最も行われている攻撃は画像のファイルのメタ情報に不正コードを埋め込んで、後から復元&実行を穴のあるプログラムコードに混ぜて処理させファイル改竄に持ってゆくというものだ。この手法は古くからある手法だが残念ながら今でも十分有効な攻撃手法です。画像ファイルアップロードで考慮すべきことファイルのアップロードデータをドキュメン...
Apacheログからセキュリティアタックの解析をする。
2017/09/08
2019/11/04
ApacheのWEBログから攻撃の手法を読み取るツールをご紹介したいと思います。ツールの言語はPython2.x系で記述されていますが、少し手を入れてpyhon3.xで動作するパッチを作ってみました。2.x系と動作比較した感じは動作良好のようです。コードGoogleで登録されているapacheログのセキュリティ解析ツール(scalp)https://code.google.com/archive/...