WWWサーバー構築
|
【 UserアカウントでApacheを起動 】一般家庭一人で使用しているクライアントPCなどは、気にせず「Adiministrator権限」でOSを起動させ、アプリケーション等も、全て同権限で起動していると思います。知らない方も居るかも知れませんが、ユーザーアカウントを気にせずWWWサーバーを立ち上げていると、サーバーをAdiministratorで動かしてしまっている場合があります。 これは何を意味しているかと言うと、もし、万が一、サーバーが乗っ取られてしまった場合、相手にAdiministrator権限を与えてしまう事につながり、相手は何でも出来てしまいます。 このような事態になった場合でも、被害を最小限に抑える為にアカウントは権限の低い「User権限」を持つアカウントでApacheを起動させるように変更します。 「利用ユーザーアカウントの登録」の項目でApache用に作成したアカウントを使用し、Apacheをサービス(デーモン)とし稼動させます。 「コントロールパネル」 -> 「管理ツール」 -> 「サービス」をクリックしていき、「Apache2」をダブルクリックしプロパティを開きます。 
「ログオンタブ」 -> 「アカウントにチェック」 -> 「参照ボタン」をクリックしてApache稼動用に作成したアカウントを選択し、パスワードを入力。 「OKボタン」をクリックしてプロパティを終了させます。 
これで、サービス(デーモン)で作動させる専用アカウントが設定されました。 
アカウントを作成したので、次は「使用できる権限」を設定します。 OSがインストールされているドライブ「Cドライブ」を右クリックし、プロパティをクリックします。 「セキュリティタブ」 -> 「追加ボタン」 -> 「Apache起動用に作成したアカウントを選択」。 【読み取りと実行】【フォルダの内容の一覧表示】【読み取り】にチェックしてある事を確認して、OKボタンをクリックします。 システムファイルが入っている「WINNTフォルダ」・「System32フォルダ」も同様に設定します。 同様に、Dドライブにも設定します。 「Administrator権限」を持った登録アカウントとApache稼動用アカウント以外は削除しておく事をお奨めいたします。 
CドライブにインストールしてあるApache2フォルダの中にある、「logsフォルダ」を下記のように設定します。 ログはアクセスがあると常時書き込まれるので、【書き込み】にチェックを付けておかないと起動時エラーになってしまいます。 設定後OKボタンをクリックし画面を終了させます。 
セットアップをはじめて、今までの説明ではCGIの設置をしていません。 CGI等もカウンターやBBSなどは、アクセスがあると書き込まれるファイルがあります。
CGIスクリプトを動かす為のフォルダを作成し、そこにまとめて置くことによって、1度の設定で済みます。この場合も、各該当フォルダに上記の同様の設定を行ってください。 何らかの理由があり、各スクリプトを点在させる場合には、点在した各フォルダにも同様の設定を行ってください。 これらの設定を行う事によって、もし万が一Serverを乗っ取られた場合であっても、Windowsシステムのファイルの改ざんや、ウィルスなどのファイルを置かれていくような事は最小限押さえられる事が出来ます。 |
||
|
|