ApacheのCustomLogとTransferLogの違い

この二つの違いがあんまりわかっていなかった上に、適当にApacheを設定していたせいで両方とも有効になっていて気持ち悪かったので、調べたことをメモしておきます。結論から言うと私はCustomLogだけでログを定義することにしました。

“ApacheのCustomLogとTransferLogの違い” の続きを読む

ZabbixでpreforkなApacheをhttpsのmod_status経由で監視する

Zabbixで個別アプリケーションを監視しよう第3弾。ApacheはZabbixのビルトインのテンプレートに入ってますが、なんとシンプルチェックでHTTP、HTTPSそれぞれのサービスが稼働しているかどうかしか監視してくれない。なのでより細かく監視ができるテンプレートを導入します。んで導入にあたってHSTSなApacheを監視できなかったのでそれにも対応しました。

“ZabbixでpreforkなApacheをhttpsのmod_status経由で監視する” の続きを読む

WordPress用 Apache/2.4.6 設定まとめ(2019/04/21)

今時点でのApacheの設定を総まとめします。私のApcheの設定ファイルは、これまでいろいろ手を加えて育ってきているので、それを棚卸しようかと思い記述します。

“WordPress用 Apache/2.4.6 設定まとめ(2019/04/21)” の続きを読む

シェルスクリプトでWordPressまるごとバックアップ

20190306 リストア手順について追記

SSIA。/etc/httpd/*と/var/www/html/*のファイルを丸ごとtar&gzで固めてバックアップするのと、MariaDBのデータをmysqldumpを使って全テーブルオンラインバックアップするのと、6カ月たったバックアップファイルを検索して削除するスクリプトです。これをcrontabに登録して月一くらいで実行するようにします。

“シェルスクリプトでWordPressまるごとバックアップ” の続きを読む

ドメイン検証方式「TLS-SNI-01」に脆弱性が見つかったのでCertbotのコマンドをいじろうと思ったけどいじらなくてよかった話

このブログサーバのSSL/TLS証明書は、Certbotというツールを使い、Let’s EncryptというCAから自動で発行/更新してもらっていました。2019年1月18日にLet’s Encryptからこんなメールがきたので対応しました。

“ドメイン検証方式「TLS-SNI-01」に脆弱性が見つかったのでCertbotのコマンドをいじろうと思ったけどいじらなくてよかった話” の続きを読む

Let’s Encryptで発行したSSL証明書の更新失敗(Google CTログエラー・20181201)

このブログのWebサーバにアクセスできない事象が発生していました。確認できたのは12月2日の0時くらいです。原因がわかったのでメモしておきます。

“Let’s Encryptで発行したSSL証明書の更新失敗(Google CTログエラー・20181201)” の続きを読む

Apache httpdのmod_securityでホストベースWAF

最近ちょっとmod_securityというNginxやIIS、httpdでWAFを実装できるモジュールを触る機会がありました。WAFって高い専用機器買わなきゃだめなんでしょっていう先入観があったのですが、これがWebサーバと同居も可能なのになかなか仕事してくれる。httpdで動いているこのブログサーバにも入れてみようと思います。ただし、なかなかにリソースを食うので、そこそこアクセスがあるサイトであれば、コンテンツを保有するWebサーバ自体に導入するのではなく、リバースプロキシとして立てたhttpdに導入するのがいいかと思います。SSLアクセラレータもついでにそこで実装すれば良いかと。

“Apache httpdのmod_securityでホストベースWAF” の続きを読む

Apache httpd 2.4.6でSSL Server TestのSSL/TLS強度A+を取る(2018年2月)

https://www.ssllabs.com/ssltest/というWebサーバのSSL/TLS強度をテストしてくれるサイトがあります。このブログサーバ構築時に、ネットの記事のコンフィグコピペでA+をとれるようにしたっきり放置していて、いろいろ設定も変えたし時間も流れた現在、再度ここで最高ランクA+を取れるようにしようというのが今回の記事の趣旨。

“Apache httpd 2.4.6でSSL Server TestのSSL/TLS強度A+を取る(2018年2月)” の続きを読む

OWASP ZAPでWebAP脆弱性診断

プラットフォーム脆弱性診断に続き今度はWebAP脆弱性診断。今回はOWASP ZAP(Open Web Application Security Project Zed Attack Proxy)というOSSのツールを使います。このツールは脆弱性診断研究会さまの講習会で勉強させてもらいました。 “OWASP ZAPでWebAP脆弱性診断” の続きを読む

Nessusでプラットフォーム脆弱性診断

自分が公開しているサーバって本当にセキュリティ的に大丈夫なの? っていう不安は常についてまわるものです。自身のサーバがうんぬんはもちろん、最悪攻撃の踏台にされて他者にも迷惑をかける可能性があります。というわけで今回はNessusという脆弱性診断ツールを利用してこのワードプレスサーバを診断してみます。

“Nessusでプラットフォーム脆弱性診断” の続きを読む