teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップApacheに関する質問
Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Q&A

解決済

3回答

4403閲覧

Apache2.2で有効だったACLがApache2.4で無視される

退会済みユーザー

退会済みユーザー

総合スコア0

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

0グッド

0クリップ

投稿2016/10/14 08:41

編集2016/10/17 02:39

0

0

###前提・実現したいこと
最終的にやりたいことは「特定のIPからのアクセスだけ403にせずリライトする」ですが、事象解説のため簡略例で説明させていただきます。

httpd.conf に対して、後述の Deny(for Apa2.2) または Require(for Apa2.4)設定を記載して、上位ディレクトリレベルで全てのアクセスをACLで拒否しています。
この状態でRewriteRule設定を入れた場合でも、ACLが有効化されたままで403エラーとなることを実現したいと考えています。

###発生している問題・エラーメッセージ
<結果>
ブラウザからアクセスした結果、
・Apache2.2では403エラー(正常にACLが効いている)
・Apache2.4では302でリダイレクトでgoogleに飛ばされる(ACLが効いていない)
となりました。

<問題点>
・Apache2.4では、本来deniedとなるはずのアクセスが許可されてしまい、
リライトが機能してgoogleへ302リダイレクトされてしまいます。
・つまり2.2とは逆で、ACL設定よりもRewriteRuleの設定が優先されているように見えます。
・ApacheのDirectory仕様ではディレクトリの階層が上のほうから処理されるため、本来であればACL設定が効いて403エラーとなるはずです。

###該当のソースコード

<設定内容>
▼Apache2.4
<Directory />
    Require all denied
</Directory>

<Directory /tmp/test>
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule ^(.*)$ http://www.google.com [R=302,L]
</IfModule>
</Directory>

▼Apache2.2
<Directory />
    Deny from all
</Directory>

<Directory /tmp/test>
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule ^(.*)$ http://www.google.com [R=302,L]
</IfModule>
</Directory>

###試したこと
・2.2と2.4でConf設定の差異などを調べたのですが、関連するようなものはありませんでした。
・Apache2.4からアクセス制御の認証仕様が変更されたため、
Orderを書くのではなくRequireになりましたが、その関係では? と疑っていますが
Web上にも同様の知見がなく、1日中Confをいろいろ変更して試してみたのですが解決していない状況です。
<Location />
Require all denied
</Location>
でも結果は同じでした(2.2は403で、2.4は302)。
・RHバンドル版ではなくソースコンパイル版のApacheですので、RH社への問い合わせができず、自己解決するしかない状況です。
お力添えいただけますと幸甚です。

###補足情報(言語/FW/ツール等のバージョンなど)
OS:Linux version 2.6.32-220.4.2.el6.x86_64 (mockbuild@x86-003.build.bos.redhat.com) (gcc version 4.4.6 20110731 (Red Hat 4.4.6-3) (GCC) ) #1 SMP Mon Feb 6 16:39:28 EST 2012
Apache:2.4.10、2.2.16

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

TaichiYanagiya様、moonphase様

ご協力ありがとうございました。

本件、お陰様で解決しました。
2.2と2.4のエラードキュメント表示の仕様差異が原因でした。
*403時に ErrorDocument 403 を読み込むのか、読み込まないのかの違いでした。

該当するケースは「エラードキュメント含めて全部HitさせるようなRewriteRuleを書いている & ACLをかけたい」といった場合になると思います。

1.発生条件と結果
▼条件(And条件)
1.Apache2.4を利用している
2.ACLをかけている
3.ErrorDocument 403を定義している
4.エラードキュメント含めて全コンテンツをHitさせるRewriteRuleを書いている

問題のあるConf定義

 (前略)
 ErrorDocument 403 /error/403.html
 (中略)
 <Directory />
     Require all denied     ※すべてを拒否
 </Directory>
 
 <Directory /tmp/test>
 <IfModule mod_rewrite.c>
     RewriteEngine On
     RewriteRule ^(.*)$ http://www.google.com [R=302,L]     ※すべてをGoogleにリダイレクトさせる
 </IfModule>
 </Directory>

▼結果
Apache2.4では403エラーにはならずRewriteRuleが動作し、Googleへ302リダイレクトされる
(Apache2.2でDeny from allしていた時は403になっていた)

2.原因
Apache2.4より、403エラー時の動作ロジックが以下のように変更されたことが原因と推測される

Apache2.2の場合
Deny from all が機能 → ErrorDocument 403 が定義されていても【エラードキュメントを読み込まない】
→結果:ステータスコード403のみをブラウザへ返して終了

Apache2.4の場合
Require all denied が機能 → ErrorDocument 403 が定義されていると【エラードキュメントを読み込む】
→結果:通常のコンテンツと同じように403ドキュメントを表示する
※エラードキュメントも対象になるようなRewriteRuleを定義していると、403にならずにリライトが実行されてしまう

補足:
v2.2で403の場合は403カスタムエラードキュメントを表示せず403となる(ErrorDocument未定義時と同じ挙動)
v2.4で403の場合は403カスタムエラードキュメントを表示する(但し、ErrorDocument未定義時はカスタムエラードキュメントを表示せず403となる)

3.解決策
エラードキュメントのみをリライトで回避するルールを記載する
正しい記載例

(前略)
ErrorDocument 403 /error/403.html
(中略)
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{REQUEST_URI} !^/error/.*$     ★追記★
    RewriteRule ^(.*)$ http://www.google.com [R=302,L]
</IfModule>

解決しましたので、本件はクローズとさせていただきます。
ありがとうございました。

投稿2016/10/19 03:53

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

moonphase
moonphase

2016/10/19 03:56

分かりやすい解説ありがとうございます! 非常に参考になります。
guest

0

以下の環境で試しましたが、/ の Require all denied は /tmp/test にも効きました。

  • CentOS 6.8 : httpd-2.4.10 (make install)
  • CentOS 6.8 : httpd24-httpd-2.4.18-11.el6.x86_64 (SCL)
  • CentOS 7.2 : httpd-2.4.6-40.el7.centos.4.x86_64

DocumentRoot ではなく "Alias /test/ /tmp/test/" で試しています。
error_log はすべて、

AH01630: client denied by server configuration: /tmp/test/

でした。

何か設定が違うのでしょうか。

投稿2016/10/17 06:31

TaichiYanagiya
TaichiYanagiya

総合スコア12146

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/10/17 10:57

ありがとうございます。 正常に動作するとのことで、切り分けに際して大いに助かります。 該当部分以外の設定を再度一式見直しており、原因と推測される部分を発見しました。 現在、客先と共同で最終確認しております。 問題がないようでしたら、とりまとめてご連絡させていただきます。
guest

0

DocumentRootのパスを正確に書けばできました。

以下はForbiddenになりました。

<Directory /opt/rh/httpd24/root/var/www/html>
    Require all denied
</Directory>

こっちはダメだった。

<Directory />
    Require all denied
</Directory>

投稿2016/10/17 02:39

moonphase
moonphase

総合スコア6621

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/10/17 02:53 編集

ご回答ありがとうございます。 Directoryのパスを正確に書く、で良いでしょうか。 こちらの環境では <Directory /tmp/test> Require all denied </Directory> <Directory /tmp/test> <IfModule mod_rewrite.c> RewriteEngine On RewriteRule ^(.*)$ http://www.google.com [R=302,L] </IfModule> </Directory> で 403 Forbidden になりませんでした(googleに遷移される)。 DocumentRoot "/tmp/test" DirectoryIndex index.html としています。
moonphase
moonphase

2016/10/17 03:42

Requireは、そのサーバ上のWebコンテンツに対してアクセス制御するものであって、 Rewriteに対して制御するものではないと思います。RewriteはWebコンテンツではないです。 ACLを使ってリダイレクトさせたいなら、リダイレクト用のCGIを設置する等が良いと思います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップApacheに関する質問

Apache2.2で有効だったACLがApache2.4で無視される