質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.09%

Apache2.2で有効だったACLがApache2.4で無視される

解決済

回答 3

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 2,567

yyworks

score 10

前提・実現したいこと

最終的にやりたいことは「特定のIPからのアクセスだけ403にせずリライトする」ですが、事象解説のため簡略例で説明させていただきます。

httpd.conf に対して、後述の Deny(for Apa2.2) または Require(for Apa2.4)設定を記載して、上位ディレクトリレベルで全てのアクセスをACLで拒否しています。
この状態でRewriteRule設定を入れた場合でも、ACLが有効化されたままで403エラーとなることを実現したいと考えています。

発生している問題・エラーメッセージ

<結果>
ブラウザからアクセスした結果、
・Apache2.2では403エラー(正常にACLが効いている)
・Apache2.4では302でリダイレクトでgoogleに飛ばされる(ACLが効いていない)
となりました。

<問題点>
・Apache2.4では、本来deniedとなるはずのアクセスが許可されてしまい、
リライトが機能してgoogleへ302リダイレクトされてしまいます。
・つまり2.2とは逆で、ACL設定よりもRewriteRuleの設定が優先されているように見えます。
・ApacheのDirectory仕様ではディレクトリの階層が上のほうから処理されるため、本来であればACL設定が効いて403エラーとなるはずです。

該当のソースコード

<設定内容>
▼Apache2.4
<Directory />
    Require all denied
</Directory>

<Directory /tmp/test>
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule ^(.*)$ http://www.google.com [R=302,L]
</IfModule>
</Directory>

▼Apache2.2
<Directory />
    Deny from all
</Directory>

<Directory /tmp/test>
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule ^(.*)$ http://www.google.com [R=302,L]
</IfModule>
</Directory>

試したこと

・2.2と2.4でConf設定の差異などを調べたのですが、関連するようなものはありませんでした。
・Apache2.4からアクセス制御の認証仕様が変更されたため、
Orderを書くのではなくRequireになりましたが、その関係では? と疑っていますが
Web上にも同様の知見がなく、1日中Confをいろいろ変更して試してみたのですが解決していない状況です。
・<Location />
Require all denied
</Location>
でも結果は同じでした(2.2は403で、2.4は302)。
・RHバンドル版ではなくソースコンパイル版のApacheですので、RH社への問い合わせができず、自己解決するしかない状況です。
お力添えいただけますと幸甚です。

補足情報(言語/FW/ツール等のバージョンなど)

OS:Linux version 2.6.32-220.4.2.el6.x86_64 (mockbuild@x86-003.build.bos.redhat.com) (gcc version 4.4.6 20110731 (Red Hat 4.4.6-3) (GCC) ) #1 SMP Mon Feb 6 16:39:28 EST 2012
Apache:2.4.10、2.2.16

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

check解決した方法

+1

TaichiYanagiya様、moonphase様

ご協力ありがとうございました。

本件、お陰様で解決しました。
2.2と2.4のエラードキュメント表示の仕様差異が原因でした。
*403時に ErrorDocument 403 を読み込むのか、読み込まないのかの違いでした。

該当するケースは「エラードキュメント含めて全部HitさせるようなRewriteRuleを書いている & ACLをかけたい」といった場合になると思います。

1.発生条件と結果
▼条件(And条件)
1.Apache2.4を利用している
2.ACLをかけている
3.ErrorDocument 403を定義している
4.エラードキュメント含めて全コンテンツをHitさせるRewriteRuleを書いている

問題のあるConf定義

(前略)
 ErrorDocument 403 /error/403.html
 (中略)
 <Directory />
     Require all denied     ※すべてを拒否
 </Directory>
 
 <Directory /tmp/test>
 <IfModule mod_rewrite.c>
     RewriteEngine On
     RewriteRule ^(.*)$ http://www.google.com [R=302,L]     ※すべてをGoogleにリダイレクトさせる
 </IfModule>
 </Directory>

▼結果
Apache2.4では403エラーにはならずRewriteRuleが動作し、Googleへ302リダイレクトされる
(Apache2.2でDeny from allしていた時は403になっていた)

2.原因
Apache2.4より、403エラー時の動作ロジックが以下のように変更されたことが原因と推測される

Apache2.2の場合
Deny from all が機能 → ErrorDocument 403 が定義されていても【エラードキュメントを読み込まない】
→結果:ステータスコード403のみをブラウザへ返して終了

Apache2.4の場合
Require all denied が機能 → ErrorDocument 403 が定義されていると【エラードキュメントを読み込む】
→結果:通常のコンテンツと同じように403ドキュメントを表示する
※エラードキュメントも対象になるようなRewriteRuleを定義していると、403にならずにリライトが実行されてしまう

補足:
v2.2で403の場合は403カスタムエラードキュメントを表示せず403となる(ErrorDocument未定義時と同じ挙動)
v2.4で403の場合は403カスタムエラードキュメントを表示する(但し、ErrorDocument未定義時はカスタムエラードキュメントを表示せず403となる)

3.解決策
エラードキュメントのみをリライトで回避するルールを記載する
正しい記載例

(前略)
ErrorDocument 403 /error/403.html
(中略)
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{REQUEST_URI} !^/error/.*$     ★追記★
    RewriteRule ^(.*)$ http://www.google.com [R=302,L]
</IfModule>

解決しましたので、本件はクローズとさせていただきます。
ありがとうございました。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/19 12:56

    分かりやすい解説ありがとうございます!
    非常に参考になります。

    キャンセル

0

DocumentRootのパスを正確に書けばできました。

以下はForbiddenになりました。

<Directory /opt/rh/httpd24/root/var/www/html>
    Require all denied
</Directory>

こっちはダメだった。

<Directory />
    Require all denied
</Directory>

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/17 11:52 編集

    ご回答ありがとうございます。
    Directoryのパスを正確に書く、で良いでしょうか。
    こちらの環境では

    <Directory /tmp/test>
    Require all denied
    </Directory>

    <Directory /tmp/test>
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule ^(.*)$ http://www.google.com [R=302,L]
    </IfModule>
    </Directory>

    で 403 Forbidden になりませんでした(googleに遷移される)。

    DocumentRoot "/tmp/test"
    DirectoryIndex index.html

    としています。

    キャンセル

  • 2016/10/17 12:42

    Requireは、そのサーバ上のWebコンテンツに対してアクセス制御するものであって、
    Rewriteに対して制御するものではないと思います。RewriteはWebコンテンツではないです。

    ACLを使ってリダイレクトさせたいなら、リダイレクト用のCGIを設置する等が良いと思います。

    キャンセル

0

以下の環境で試しましたが、/ の Require all denied は /tmp/test にも効きました。

  • CentOS 6.8 : httpd-2.4.10 (make install)
  • CentOS 6.8 : httpd24-httpd-2.4.18-11.el6.x86_64 (SCL)
  • CentOS 7.2 : httpd-2.4.6-40.el7.centos.4.x86_64

DocumentRoot ではなく "Alias /test/ /tmp/test/" で試しています。
error_log はすべて、

AH01630: client denied by server configuration: /tmp/test/


でした。

何か設定が違うのでしょうか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/17 19:57

    ありがとうございます。
    正常に動作するとのことで、切り分けに際して大いに助かります。
    該当部分以外の設定を再度一式見直しており、原因と推測される部分を発見しました。
    現在、客先と共同で最終確認しております。
    問題がないようでしたら、とりまとめてご連絡させていただきます。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.09%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる