ホーム
新着サイト

ニュースサイト
ソフトウェア
フリー・シェアウェア
出版社
情報処理技術者試験
ベンダー試験
求人情報
ノンセクション
Microsoft
Windows
Windows2000
WindowsNT
Windows9x
プログラミング
Visual Basic
C
C++
Java
Delphi
COM/DCOM
Office/VBA
WebDesign
HTML/XML
JavaScript
VBScript
Servlet/JSP
JavaApplet
CGI&SSI
Perl
Active Server Pages
PHP
データベース
Oracle
PostgreSQL
MySQL
UNIX
Linux
FreeBSD
Mac
Server Software
DNS
Mail
Web
Application Server
オブジェクト指向
セキュリティ
ネットワーク

Cool Site

随時更新

ハードウェア

インターネット

テレコミ

プロバイダ

レンタルサーバ

ウェブログ

検索

視力回復情報

ITNAVI.com 別冊(実用)

ITNAVI.com ガイド

リンク切れ報告、サイト情報お待ちしています"
sawa@itnavi.com

リンクは御自由にどうぞ

「送料無料サービス」実施中

いろはにApache

リリース情報
2002/10/3 Apache 1.3.27 リリース
2002/12/27 PHP 4.3.0 リリース

構築環境
Apache 1.3.24
PHP 4.1.1
Red Hat Linux 6.2J or 7.2

インストール編
1.Apacheをインストールする
2.PHPをインストールする
3.ApacheでSSLを使う
運用編
1.ユーザ認証をする。(ベーシック認証)
2.ユーザ認証をする。(ダイジェスト認証)
3.Analogでアクセスログ解析をする。

役に立つリンク
Apacheにmod_gzipを組み込んでHP配信を高速化する

インストール編

1.Apacheをインストールする。

Downloading Apache - Japanized Apache Siteよりapache_1.3.24.tar.gzをダウンロードします。
2002/10/3現在 1.3.27 が最新
/usr/local/src/配下に展開
$ tar xvzf apache_1.3.24.tar.gz
apacheはDSO（Dynamic Shared Object) サポート付きにします。
$ cd apache_1.3.24 $ ./configure --enable-rule=SHARED_CORE --enable-module=so $ make $ su # make install
httpd.confの設定が完了したら、
configtestで設定内容に誤りが無いか確認します。
httpd.confのPortが80になっているかも確認しておきます。
# /usr/local/apache/bin/apachectl configtest Syntax OK
apachectlのconfigtestでSyntax OKが出たら設定に問題ありません。

自動起動の設定をします。
起動スクリプトを作成します。
/etc/rc.d/init.d/httpd

#!/bin/sh
#
# Startup script for the Apache Web Server
#
# chkconfig: 345 85 15
# description: Apache is a World Wide Web server.  It is used to serve \
#	       HTML files and CGI.
# processname: httpd
# pidfile: /var/run/httpd.pid
# config: /usr/local/apache/conf/access.conf
# config: /usr/local/apache/conf/httpd.conf
# config: /usr/local/apache/conf/srm.conf


# Source function library.
. /etc/rc.d/init.d/functions

# See how we were called.
case "$1" in
  start)
	echo -n "Starting httpd: "
	daemon /usr/local/apache/bin/httpd
	echo
	touch /var/lock/subsys/httpd
	;;
  stop)
	echo -n "Shutting down http: "
	killproc httpd
	echo
	rm -f /var/lock/subsys/httpd
	rm -f /var/run/httpd.pid
	;;
  status)
	status httpd
	;;
  restart)
	$0 stop
	$0 start
	;;
  reload)
	echo -n "Reloading httpd: "
	killproc httpd -HUP
	echo
	;;
  *)
	echo "Usage: $0 {start|stop|restart|reload|status}"
	exit 1
esac

exit 0

ファイル作成後はchmodで実行許可を与える。

httpdのランレベルを設定します。

# su -
# chkconfig --add httpd
# chkconfig --list httpd
httpd           0:off   1:off   2:off   3:on    4:on    5:on    6:off

早速、起動してみます。
# /etc/rc.d/init.d/httpd start

2.PHPをインストールする

 PHP Downloadsよりphp-4.1.1.tar.gzをダウンロードする。
4.2.3が最新 2002/9/6現在

$ tar xvzf php-4.1.1.tar.gz
$ cd php-4.1.1
$ rm configure
$ ./buildconf
$ ./configure --enable-mbstring \
              --enable-mbstr-enc-trans \
              --with-pgsql=/usr/local/pgsql \
              --enable-track-vars \
              --with-apxs=/usr/local/apache/bin/apxs \
              --without-gd \
              --enable-trans-sid
$ su
# make install

PHPの設定ファイルをコピーする。

# cp php.ini-dist /usr/local/lib/php.ini

apacheの設定ファイルを編集する。
PostgreSQLデータベースにアクセスするならば、 libpqをロードするよう下記の記述を追加する。
# vi /usr/local/apache/conf/httpd.conf

LoadFile /usr/local/pgsql/lib/libpq.so
LoadModule php4_module  libexec/libphp4.so ←既にあるはず
# 下記を追加する。
AddType application/x-httpd-php .php

デフォルトページにindex.phpを追加したいなら、DirectoryIndexも修正する。

DirectoryIndex  index.php index.html

PHPの動作確認をする。
/usr/local/apache/htdocsに下記の1行でtest.phpを作成する。

<?php phpinfo(); ?>

http://<サーバのIPアドレスもしくはFQDN>/test.php
にアクセスしてみる。

3.ApacheでSSLを使う。

ApacheのSSL対応は、いくつかやり方があるが、今回はmod_sqlとOpenSSLを用いる。

OpenSSL: The Open Source toolkit for SSL/TLSよりopenssl-0.9.6g.tar.gzをダウンロードします。
2002/12/31現在 0.9.7 が最新
mod_ssl: The Apache Interface to OpenSSLよりmod_ssl-2.8.10-1.3.26.tar.gzをダウンロードします。
2003/3/21現在 2.8.14-1.3.27 が最新

Downloading Apache - Japanized Apache Siteよりapache_1.3.26.tar.gzをダウンロードします。
2002/10/3現在 1.3.27 が最新

まずOpenSSLのインストールを行います。次にmod_sslを組み込み、Apacheをメイク、インストールします。
ここでは試験的に、make certificate TYPE=custom により、独自CA局による証明書作成を行います。
ApacheはDSO（Dynamic Shared Object) サポート付きにします。

$ tar xvzf openssl-0.9.6g.tar.gz
$ cd openssl-0.9.6g
$ ./config
$ make
$ make test
$ su
# make install
# exit
$ cd ..
$ tar xvzf apache_1.3.26.tar.gz
$ tar xvzf mod_ssl-2.8.10-1.3.26.tar.gz
$ cd mod_ssl-2.8.10-1.3.26
$ ./configure --with-apache=../apache_1.3.26 \
              --with-ssl=/usr/local/ssl \
              --enable-rule=SHARED_CORE \
              --enable-module=so
$ cd ../apache_1.3.26
$ make
$ make certificate TYPE=custom

SSL Certificate Generation Utility (mkcert.sh)
Copyright (c) 1998-2000 Ralf S. Engelschall, All Rights Reserved.

Generating custom certificate signed by own CA [CUSTOM]
______________________________________________________________________

STEP 0: Decide the signature algorithm used for certificates
The generated X.509 certificates can contain either
RSA or DSA based ingredients. Select the one you want to use.
Signature Algorithm ((R)SA or (D)SA) [R]:
______________________________________________________________________

STEP 1: Generating RSA private key for CA (1024 bit) [ca.key]
46961 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
...++++++
...................................++++++
e is 65537 (0x10001)
______________________________________________________________________

STEP 2: Generating X.509 certificate signing request for CA [ca.csr]
Using configuration from .mkcert.cfg
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
1. Country Name             (2 letter code) [XY]:JP
2. State or Province Name   (full name)     [Snake Desert]:Kanagawa
3. Locality Name            (eg, city)      [Snake Town]:Yokohama
4. Organization Name        (eg, company)   [Snake Oil, Ltd]:ITNAVI.com
5. Organizational Unit Name (eg, section)   [Certificate Authority]:
6. Common Name              (eg, CA name)   [Snake Oil CA]:ITNAVI CA
7. Email Address            (eg, name@FQDN) [ca@snakeoil.dom]:sawa@itnavi.com
8. Certificate Validity     (days)          [365]:
______________________________________________________________________

STEP 3: Generating X.509 certificate for CA signed by itself [ca.crt]
Certificate Version (1 or 3) [3]:
Signature ok
subject=/C=JP/ST=Kanagawa/L=Yokohama/O=ITNAVI.com/OU=Certificate Authority/CN=IT
NAVI CA/Email=sawa@itnavi.com
Getting Private key
Verify: matching certificate & key modulus
read RSA key
Verify: matching certificate signature
../conf/ssl.crt/ca.crt: /C=JP/ST=Kanagawa/L=Yokohama/O=ITNAVI.com/OU=Certificate
 Authority/CN=ITNAVI CA/Email=sawa@itnavi.com
error 18 at 0 depth lookup:self signed certificate
OK
______________________________________________________________________

STEP 4: Generating RSA private key for SERVER (1024 bit) [server.key]
46961 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
........++++++
..........++++++
e is 65537 (0x10001)
______________________________________________________________________

STEP 5: Generating X.509 certificate signing request for SERVER [server.csr]
Using configuration from .mkcert.cfg
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
1. Country Name             (2 letter code) [XY]:JP
2. State or Province Name   (full name)     [Snake Desert]:Kanagawa
3. Locality Name            (eg, city)      [Snake Town]:Yokohama
4. Organization Name        (eg, company)   [Snake Oil, Ltd]:ITNAVI.com
5. Organizational Unit Name (eg, section)   [Webserver Team]:
6. Common Name              (eg, FQDN)      [www.snakeoil.dom]:www.itnavi.com
7. Email Address            (eg, name@fqdn) [www@snakeoil.dom]:sawa@itnavi.com
8. Certificate Validity     (days)          [365]:
______________________________________________________________________

STEP 6: Generating X.509 certificate signed by own CA [server.crt]
Certificate Version (1 or 3) [3]:
Signature ok
subject=/C=JP/ST=Kanagawa/L=Yokohama/O=ITNAVI.com/OU=Webserver Team/CN=www.itnavi.com/Email=sawa@itnavi.com
Getting CA Private Key
Verify: matching certificate & key modulus
read RSA key
Verify: matching certificate signature
../conf/ssl.crt/server.crt: OK
______________________________________________________________________

STEP 7: Enrypting RSA private key of CA with a pass phrase for security [ca.key]
The contents of the ca.key file (the generated private key) has to be
kept secret. So we strongly recommend you to encrypt the server.key file
with a Triple-DES cipher and a Pass Phrase.
Encrypt the private key now? [Y/n]:
read RSA key
writing RSA key
Enter PEM pass phrase:
Verifying password - Enter PEM pass phrase:
Fine, you're using an encrypted private key.
______________________________________________________________________

STEP 8: Enrypting RSA private key of SERVER with a pass phrase for security [ser
ver.key]
The contents of the server.key file (the generated private key) has to be
kept secret. So we strongly recommend you to encrypt the server.key file
with a Triple-DES cipher and a Pass Phrase.
Encrypt the private key now? [Y/n]:
read RSA key
writing RSA key
Enter PEM pass phrase:
Verifying password - Enter PEM pass phrase:
Fine, you're using an encrypted RSA private key.
______________________________________________________________________

RESULT: CA and Server Certification Files

o  conf/ssl.key/ca.key
   The PEM-encoded RSA private key file of the CA which you can
   use to sign other servers or clients. KEEP THIS FILE PRIVATE!

o  conf/ssl.crt/ca.crt
   The PEM-encoded X.509 certificate file of the CA which you use to
   sign other servers or clients. When you sign clients with it (for
   SSL client authentication) you can configure this file with the
   'SSLCACertificateFile' directive.

o  conf/ssl.key/server.key
   The PEM-encoded RSA private key file of the server which you configure
   with the 'SSLCertificateKeyFile' directive (automatically done
   when you install via APACI). KEEP THIS FILE PRIVATE!

o  conf/ssl.crt/server.crt
   The PEM-encoded X.509 certificate file of the server which you configure
   with the 'SSLCertificateFile' directive (automatically done
   when you install via APACI).

o  conf/ssl.csr/server.csr
   The PEM-encoded X.509 certificate signing request of the server file which
   you can send to an official Certificate Authority (CA) in order
   to request a real server certificate (signed by this CA instead
   of our own CA) which later can replace the conf/ssl.crt/server.crt
   file.

Congratulations that you establish your server with real certificates.


$ su
# make install

証明書関連書類のインストール先ディレクトリ

書類の種類	ディレクトリ
証明書	/usr/local/apache/conf/ssl.crt
秘密鍵	/usr/local/apache/conf/ssl.key
証明書破棄リスト	/usr/local/apache/conf/ssl.crl
証明書要求	/usr/local/apache/conf/ssl.csr
DSAのパラメータファイル	/usr/local/apache/conf/ssl.prm

httpd.confの設定が完了したら、
configtestで設定内容に誤りが無いか確認します。
httpd.confのPortが8080になっている箇所は80に、8443になっている箇所は443に変更します。
# /usr/local/apache/bin/apachectl configtest Syntax OK
apachectlのconfigtestでSyntax OKが出たら設定に問題ありません。

自動起動の設定をします。
起動スクリプトを作成します。
/etc/rc.d/init.d/httpd

#!/bin/sh
#
# Startup script for the Apache Web Server
#
# chkconfig: 345 85 15
# description: Apache is a World Wide Web server.  It is used to serve \
#	       HTML files and CGI.
# processname: httpd
# pidfile: /var/run/httpd.pid
# config: /usr/local/apache/conf/access.conf
# config: /usr/local/apache/conf/httpd.conf
# config: /usr/local/apache/conf/srm.conf


# Source function library.
. /etc/rc.d/init.d/functions

# See how we were called.
case "$1" in
  start)
	echo -n "Starting httpd: "
	daemon /usr/local/apache/bin/httpd -DSSL
	echo
	touch /var/lock/subsys/httpd
	;;
  stop)
	echo -n "Shutting down http: "
	killproc httpd
	echo
	rm -f /var/lock/subsys/httpd
	rm -f /var/run/httpd.pid
	;;
  status)
	status httpd
	;;
  restart)
	$0 stop
	$0 start
	;;
  reload)
	echo -n "Reloading httpd: "
	killproc httpd -HUP
	echo
	;;
  *)
	echo "Usage: $0 {start|stop|restart|reload|status}"
	exit 1
esac

exit 0

ファイル作成後はchmodで実行許可を与える。

httpdのランレベルを設定します。

# su -
# chkconfig --add httpd
# chkconfig --list httpd
httpd           0:off   1:off   2:off   3:on    4:on    5:on    6:off

パスワード入力なしでSSL対応Apacheを起動できるようにします。(非推奨)

# cd /usr/local/apache/conf/ssl.key/
# cp -p server.key server.key.org
# openssl rsa -in server.key.org -out server.key
read RSA key
Enter PEM pass phrase:
writing RSA key

早速、起動してみます。
# /etc/rc.d/init.d/httpd start

運用編

1.ユーザ認証をする。(ベーシック認証)

httpd.confで.htaccess の使用を許可する。許可したいディレクトリのAllowOverrideにAuthConfigを追記する。
# vi /usr/local/apache/conf/httpd.conf


・
・
・
# This controls which options the .htaccess files in directories can
# override. Can also be "All", or any combination of "Options", "FileInfo",
# "AuthConfig", and "Limit"

AllowOverride AuthConfig
・
・
・

Options・・・CGI の実行、シンボリックリンクをたどるかどうか、などの制御を .htaccess で指定する事ができる。
FileInfo・・・拡張子とファイルタイプの対応の指定や File 名置換などを、.htaccess で指定する事ができる。
AuthConfig・・・ユーザー認証に関する指定を、.htaccess で指定する事ができる。
Limit・・・アクセス制限に関する指定を、.htaccess で指定する事ができる。
All・・・以上の全てを指定したのと同じ。

パスワードファイルを作成する。
htpasswd の使用例　(この場合は、hogeuser がユーザ名、hogepass がパスワードになる)
$ /usr/local/apache/bin/htpasswd -bc /home/hoge/.htpasswd hogeuser hogepass
でできます。 -c オプションをつけると、パスワードファイルを新しく作ります。
$ cat /home/hoge/.htpasswd

hoge:ycavAJ8cgj9rM

.htaccessファイルを作成する。ユーザ認証するディレクトリに置きます。

AuthUserFile /home/hoge/.htpasswd
AuthGroupFile /dev/null
AuthName "Hoge"
AuthType Basic
<Limit POST GET>
require valid-user
</Limit>

ミケネコの htaccess リファレンス

2.ユーザ認証をする。(ダイジェスト認証)

httpd.confで.htaccess の使用を許可する。許可したいディレクトリのAllowOverrideにAuthConfigを追記する。

# vi /usr/local/apache/conf/httpd.conf


・
・
・
# This controls which options the .htaccess files in directories can
# override. Can also be "All", or any combination of "Options", "FileInfo",
# "AuthConfig", and "Limit"

AllowOverride AuthConfig
・
・
・

パスワードファイルを作成する。

htdigest の使用例　(この場合は、hogeuser がユーザ名で、Privateが領域名(realm)です。)
$ /usr/local/apache/bin/htdigest -c /home/hoge/.htpasswd.digest Private hogeuser
でできます。 -c オプションをつけると、パスワードファイルを新しく作ります。
$ cat /home/hoge/.htpasswd.digest hogeuser:Private:d675482f815f01ff7dff9d70f5ddf3fb

.htaccessファイルを作成する。ユーザ認証するディレクトリに置きます。

AuthDigestFile /home/hoge/.htpasswd.digest
AuthGroupFile /dev/null
AuthName "Private"
AuthType Digest
<Limit POST GET>
require valid-user
</Limit>

これだけだと、ダイジェスト認証は使用できません。ダイジェスト認証モジュール(mod_auth_digest.c)を組み込む必要があります。
$ cd apache_1.3.27/src/modules/experimental $ /usr/local/apache/bin/apxs -c -D DEV_RANDOM mod_auth_digest.c $ su # /usr/local/apache/bin/apxs -i mod_auth_digest.so
configure時に、--enable-module=auth_digest オプションを付加する方法もある。
httpd.confに下記の記述を追加します。

# vi /usr/local/apache/conf/httpd.conf
LoadModule digest_auth_module libexec/mod_auth_digest.so AddModule mod_auth_digest.c
Apacheを再起動します。
# /etc/rc.d/init.d/httpd restart
ダイジェスト認証は、ユーザー名とパスワードをMD5で暗号化するため(パスワードが平文で流れない)、パスワードを base64 エンコードするだけのベーシック認証より安全です。ただし暗号化されるのは認証だけなので、ログイン以降の通信を暗号化したい場合は、SSLを使用してください。

ただし、ダイジェスト認証を使用できるブラウザは限定されます。IE5.0以降、Netscape7.0以降、Opera6.0、Mozilla 0.9.7以降では使用できるようです。

3.Analogでアクセスログ解析をする。

圧縮なしの2,800万行のログファイルをPentium266MHzで計算させて、20分ほどで処理が終了するというanalogを使って、アクセスログを解析してみよう。

Analog: Downloadよりanalog-5.24.tar.gz をダウンロードします。
2002/11/30現在、5.30が最新。
$ tar xvzf analog-5.24.tar.gz $ cd analog-5.24

コンパイルする。
出来たファイルを、analog用ディレクトリを作成しコピーする。
日本語化フォームをコピーする。

$ make
$ su
# mkdir -p /usr/local/analog-5.24
# cp analog /usr/local/analog-5.24
# cp analog.cfg /usr/local/analog-5.24
# cp anlgform.html /usr/local/analog-5.24
# cp anlgform.pl /usr/local/analog-5.24
# cp -r images/ /usr/local/analog-5.24
# cp -r lang/ /usr/local/analog-5.24
# cd /usr/local/analog-5.24

次に、環境設定ファイルを設定する。
サイト名、URL、ログファイルの指定と、analogコマンド実行時のために、ここで言語設定もしておく。
# vi analog.cfg

LOGFILE logfile.log
  ↓
LOGFILE /usr/local/apache/logs/access_log

LANGUAGE JAPANESE
HOSTNAME "[あなたの組織名]"
HOSTURL "http://www.your-organization.ac.jp/"

次に、フォームインターフェースを設定する。
# vi lang/jpjform.html

<h1><!-- img src="/images/analogo.gif" alt="" -->
Analog フォーム・インタフェース</h1>
  ↓
<h1><img src="/analog/images/analogo.gif" alt="">
Analog フォーム・インタフェース</h1>

<!-- form action="/cgi-bin/anlgform.pl" method="POST" -->
  ↓
<form action="/analog/anlgform.pl" method="POST">

<!-- input type=hidden name="IMAGEDIR" value="/images/" -->
  ↓
<input type=hidden name="IMAGEDIR" value="/analog/images/">

次に、スクリプトファイルを設定する。
下記の1行を追加する。
# vi anlgform.pl

$analog = '/usr/local/analog-5.24/analog';

WebサーバからCGIとして動作させる場合は、Apacheの設定ファイルを編集する。
# vi /usr/local/apache/conf/httpd.conf

    Alias /analog/ "/usr/local/analog-5.21/"

    <Directory "/usr/local/analog-5.21">
        Options ExecCGI
        AllowOverride AuthConfig
        Order allow,deny
        Allow from all
# IPアドレスでアクセス制限する場合の例
#       Order deny,allow
#       Deny from all
#       Allow from 192.168.1.0/255.255.255.0
    </Directory>

anlgform.pl をCGIプログラムとして動作させるためには、下記の設定も必要です。

    AddHandler cgi-script .cgi .pl

http://<サーバのIPアドレス>/analog/lang/jpjform.html で解析フォームにアクセスしてみる。

解析CGIは、DoS攻撃に使われない為に、アクセス制限を掛けておくことをお勧めします。
リアルタイムで解析する必要が無い場合は、cron により一定周期でレポートを作成させるのが良いでしょう。
例えば、crontab -e で、

0 0 * * * /usr/local/analog-5.21/analog "/usr/local/apache/logs/access_log"
 +B +f +b +S +D +O"/usr/local/analog-5.21/report.html"
(途中折り返してます)

を設定しておくと、毎日0時にレポートが作成されます。

役立つサイト

連載記事「ApacheによるWebサーバ構築」
WebDAV時代のセキュリティ対策［後編］（2/3）

日本 Analog ユーザ会

オープンソースのウェブサーバ Apache

ウィルス対策ソフトなんてどれも同じだと考えていませんか？検出性能か、価格か、ブランドか、あなたに合ったベストソリューションはどれ？ウイルス対策ソフトに関するトピックスをメールマガジンでお知らせしています

ウィルス対策ソフトを比較するメルマガ をまぐまぐで登録

先頭へ戻るトップページへ戻る

2003年1月1日更新

i2i無料WEBパーツ