3. FreeBSD 11.2 RELEASE - apache24 - アクセス制限

 
3.1 概要
3.2 IP アドレスに対して制限をかける
3.3 パスワードによって制限をかける

3.1 概要

 apache のアクセス制限について記述します。  インターネットに公開しているウェブサーバであっても、構築中のサイトや、組織に所属している者だけにしか公開したくないサイト等があります。  インターネットすべてには公開したくないサイトについてどうやって制限をかけるかという方法について記述します。  制限のかけ方にも、大きく分けて二通りの方法があります。他にも複雑な方法もあるのですが、ここではもっとも単純な二通りについて説明します。

3.2 IP アドレスに対して制限をかける

 例題は、以下の環境とします。
項目 設定
ドキュメントルート /usr/local/www/data
制限する URL http://www.hogehoge.jp/hogehoge/
アドレス 192.168.0.0 ~ 192.168.0.255 に対してのみ公開

/usr/local/etc/apache22/Includes/hogehoge.conf
 というファイル(ファイル名は何かルールをつくって決めてください)を作成して、以下のように記述します。

<Directory  /usr/local/www/data/hogehoge>
    Options -Indexes +FollowSymLinks

    <RequireAll>
        <RequireAny>
            Require ip  192.168.0.0/24
        </RequireAny>
    </RequireAll>
</Directory>
 deny from all は、すべての (all) IP アドレスからのアクセスを非許可とするという意味です。  allow from 192.168.0.0/24 は、上位 24 ビットがマッチする(サブネットマスク 0xFFFFFF00) IP アドレスについて、アクセスを許可するという意味です。  192.168.0.0/24 は 192.168.0 と記述することも可能です。  また、注意すべき点として、Options に続くオプションの記述は、apache22 までは符号ありの記述と符号なしの記述の混在が許されていましたが、apache24 ではどれかのオプションに符号をつけたら他のオプションにもすべて、+ か - かどちらかの符号をつける必要があります。
/usr/local/etc/apache22/Includes/hogehoge.conf
 の記述を終えたら、configtest と restart を行って、設定を反映させます。

3.3 パスワードによって制限をかける

 例題は、以下の環境とします。
ドキュメントルートを /usr/local/www/data とします。
URL http://www.hogehoge.jp/hogehoge/ に対して制限をかけるものとします。
/usr/local/etc/apache22/Includes/hogehoge.conf
 に以下のように記述します。

<Directory  "/usr/local/www/data/hogehoge">
    AuthType        Basic
    AuthName        "Welcome to hogehoge"
    AuthUserFile    /hogehoge/passwd
    Require         valid-user
</Directory>
 AuthType は、認証機構の種別を指定するものですが、パスワードによる基本認証を行う場合は Basic にします。  AuthName は、パスワード入力画面の、「領域:」として表示させるメッセージです。必ず、ダブルクォーテーションでくくります。中身には、自分の好きなメッセージや、領域を示す内容を記述します。メッセージの表示形式はブラウザによっても異なります。  AuthUserFile は、パスワードファイルを指定するものです。パスワードファイルを置くディレクトリやファイル名は自由ですが、セキュリティ上、WEBサーバのドキュメントルート外におくべきです。  require valid-user は、認証されたユーザにしか、アクセスさせないという定義です。  次に、パスワードファイルを作成します。パスワードファイルの管理には、htpasswd というコマンドを使用します(apache24 のインストール時に /usr/local/bin にインストールされています)。  パスワードファイル作成時に最低限、1ユーザを作成しなければなりません。

> htpasswd -c /hogehoge/passwd hogehoge
New password:							← パスワードを入力
Re-type new password:					← パスワードを再入力
Adding password for user hogehoge
 「-c」オプションは、作成する(create) という意味です。その先のパラメータは、パスワードファイル名を示しています。  「/hogehoge/passwd hogehoge」の /hogehoge/passwd は、パスワードファイル名の指定です。hogehoge はパスワードを設定するユーザアカウント名です。  パスワードとして入力した文字は、エコーバックされません。打ち間違えると、ユーザアカウントが作成されないので、もう一度コマンドを入力するところからやりなおしてください。  ユーザを追加する場合は以下のようにします。

> htpasswd /hogehoge/passwd fugafuga
New password:
Re-type new password:
Adding password for user fugafuga
 パスワードの入力等は作成時と同様です。  パスワードの変更時も同じコマンドで「-c」オプションをつけないことで変更できます。  ユーザアカウントを削除するときは、パスワードファイルをテキストエディタで開いて、対象のユーザアカウントの行を削除してください。  /usr/local/etc/apache22/Includes/hogehoge.conf の記述、パスワードファイルの作成、パスワードの設定を終えたら、configtest と restart を行って、設定を反映させます。