mirror of
https://github.com/php/doc-ja.git
synced 2026-03-23 22:52:11 +01:00
edc3d6b148
git-svn-id: https://svn.php.net/repository/phpdoc/ja/trunk@324071 c90b9560-bf6c-de11-be94-00142212c4b1
72 lines
3.9 KiB
XML
72 lines
3.9 KiB
XML
<?xml version="1.0" encoding="utf-8"?>
|
|
<!-- $Revision$ -->
|
|
<!-- EN-Revision: ab6785b01ce1006e3a9761988575289f40c9b678 Maintainer: shimooka Status: ready -->
|
|
<!-- CREDITS: hirokawa -->
|
|
|
|
<chapter xml:id="security.apache" xmlns="http://docbook.org/ns/docbook">
|
|
<title>Apache モジュールとしてインストール</title>
|
|
<simpara>
|
|
<acronym>PHP</acronym> が Apache モジュールとして使用された場合、<acronym>PHP</acronym> は、Apache ユー
|
|
ザーの許可属性(通常はユーザー "nobody" の許可属性)を継承します。
|
|
これは、セキュリティと認証に数々の影響を与えます。例えば、データベー
|
|
スと接続するために<acronym>PHP</acronym>を使用している場合、データベースが組込みのア
|
|
クセス制御機能を有していない限り、そのデータベースを "nobody"ユー
|
|
ザからアクセス可能とする必要が生じます。これは、悪意のあるスクリプ
|
|
トが、ユーザー名とパスワードなしにデータベースにアクセスし、修正する
|
|
ことができることを意味します。Webスパイダがデータベース管理用Webペー
|
|
ジを回って、データベースを全て削除することも可能です。Apache認証に
|
|
よりこの攻撃に対して防衛することが可能であり、また、LDAPや
|
|
.htaccessファイル等を使用して固有のアクセスモデルを設計し、<acronym>PHP</acronym>スク
|
|
リプトの一部としてそのコードを読み込むことも可能です。
|
|
</simpara>
|
|
<simpara>
|
|
しばしば、<acronym>PHP</acronym>ユーザー(この場合はApacheユーザー)が非常に小さなリスクを
|
|
有する場所に一度セキュリティが確立されると、<acronym>PHP</acronym>はユーザーディレクト
|
|
リにウイルスファイルを書き込んだりすることができなくなります。もし
|
|
くは、データベースにアクセスしたり変更したりといったことが出来なく
|
|
なります。この場合、良いファイルおよび悪いファイルの書き込み、また
|
|
は、良いデータベーストランザクションと悪いデータベーストランザクシ
|
|
ョンに関して等しく安全性が確保されていると言えます。
|
|
</simpara>
|
|
<simpara>
|
|
この観点からしばしば行われるセキュリティ上の失敗としてApacheにルー
|
|
ト権限を与えたり、他の何らかの手段でApacheの権限を昇格させるという
|
|
ものがあります。
|
|
</simpara>
|
|
<simpara>
|
|
Apacheユーザーの権限をルートに昇格させることは非常に危険であり、シ
|
|
ステム全体を危険にさらす可能性があります。よって、sudoやchrootの実
|
|
行、ルート権限で実行を行う他の手段は、セキュリティに精通した人以外
|
|
は、考慮するべきではありません。
|
|
</simpara>
|
|
<simpara>
|
|
いくつかのより簡単な解決策があります。<link
|
|
linkend="ini.open-basedir">open_basedir</link> を使用することによ
|
|
り、<acronym>PHP</acronym>に使用を許可するディレクトリを制御したり制限したりすること
|
|
が可能です。また、全てのWebベースの作業をユーザーファイル、システム
|
|
ファイル以外のファイルに制限するために、Apache専用エリアを設定する
|
|
ことも可能です。
|
|
</simpara>
|
|
</chapter>
|
|
|
|
<!-- Keep this comment at the end of the file
|
|
Local variables:
|
|
mode: sgml
|
|
sgml-omittag:t
|
|
sgml-shorttag:t
|
|
sgml-minimize-attributes:nil
|
|
sgml-always-quote-attributes:t
|
|
sgml-indent-step:1
|
|
sgml-indent-data:t
|
|
indent-tabs-mode:nil
|
|
sgml-parent-document:nil
|
|
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
|
|
sgml-exposed-tags:nil
|
|
sgml-local-catalogs:nil
|
|
sgml-local-ecat-files:nil
|
|
End:
|
|
vim600: syn=xml fen fdm=syntax fdl=2 si
|
|
vim: et tw=78 syn=sgml
|
|
vi: ts=1 sw=1
|
|
-->
|