質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

Q&A

解決済

2回答

3817閲覧

外部実行するスクリプトの置き場所はどこがいい?

1nakaji

総合スコア187

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

0グッド

2クリップ

投稿2016/10/14 09:54

現在、AWSのEC2インスタンスで
サーバーを構築しています。

そこで不特定多数のユーザーが
バーチャルホストの設定をできるようにしたいです。

どこかのWebページでユーザーがドメイン登録をすると、
/etc/httpd/conf.d/*.conf
にバーチャルホストの設定ファイルが作成され、
設定を反映させるためにhttpdが再起動するものです。

バーチャルホストの設定ファイルを作成する
スクリプト自体は今は/home/bin/という
ディレクトリ内に置いてあります。

スクリプトはcgiでperlで書いてます。

アパッチのドキュメントルートは/home/に変更してあるため、
/home/bin/内のファイルは外部からアクセスできます。

まず一つ目がそういうファイルを
外部からアクセスできるところに置いておくのが、
いいかどうかというのが一つあります。

セキュリティ的に大丈夫なのかなと。

それならスクリプト本体は外部からアクセスできない
/var/www/cgi-bin/のようなディレクトリに置き、
/home/bin/にはスクリプトを実行するだけの
ファイルを置いておく方がいいのかと。

/home/bin/内にスクリプト本体を置いておいても、
受け取る値のチェックをしっかりするなど、
セキュリティ面を考えておけば問題ないなど。

通常のサーバー運用では、
この辺りはどのようにするのでしょうか?

アドバイスいただけますと幸いです。
よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

もう少し前提条件を書いていただけるとありがたいのですが、ここでは、下記の3つの観点で考えてみます。

  • スクリプトの不正実行
  • スクリプトのソース閲覧
  • スクリプトの想定外利用(悪用)

スクリプトの不正実行については、スクリプト本体がどこに置かれていたとしても、直接または間接に起動自体はできるわけで、できなければスクリプトを使うことができません。この点については、置き場所は関係ありません。

スクリプトのソースが閲覧できてしまうかもしれない、という脅威については、スクリプトの置き場所が関係します。外部から参照できない場所に置かれていれば、ソースが閲覧されることは(ディレクトリトラバーサル等の脆弱性がなければ)できません。それでは、外部から参照できる場所にスクリプトを設置していたらソースが閲覧できてしまうかというと、それはできないように設定するわけで、もしソースが閲覧できたら脆弱性です。スクリプトの置き場所によってソースコード閲覧の可能性はちょっぴり変わりますが、大きくくくると、「脆弱性がなければソースは閲覧されず、脆弱性があればソースが閲覧される可能性がある」ということでは変わりありません。

スクリプトの想定外利用(悪用)について言えば、スクリプトの脆弱性に関係があり、スクリプトの置き場所については通常変わりありません。

ということで、スクリプトの置き場所が関係するのは、ソースコードが外部から閲覧されるかどうかくらいですが、正しい設定がしてあればPHPやCGIのソースは外部から閲覧できないので、通常それは気にしない場合が多いです。

しかしながら、PHPを複数のファイルに分割して、それをinclude/requireする場合、includeするファイルの方を単独で起動したら悪いことが起きる、という可能性は考慮しておく必要があります。それを考慮して、include/requireするファイル(ライブラリ)を外部から参照できない場所に設置することは多いです。しかしこれは、ファイルを分割したために起きる問題ですので、ファイルを閲覧できない場所に置くことを目的として、ファイルを分割する理由にはならないと思います。

投稿2016/10/14 23:01

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

1nakaji

2016/10/20 18:13

ありがとうございます。セキュティ的に分割するというのはあまりないのですね。
guest

0

どこにおくべきかは種類、用途によりますし質問内容がちょっと漠然としているので答えづらいところですが、とりあえず誰でも簡単に判断がつく一番簡単なものは。。。

それは全世界に公開する必要があるのか?

事故が起きたりして見られても泣かないものか?

だと思います。

公開する必要がないものは見えるところに置く必要はないですし、事故が起きたりして見られたら泣いちゃうようなものは見えるところに置くべきではありません。

と、私は思います。はい。

投稿2016/10/14 14:48

hana-da

総合スコア1728

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

1nakaji

2016/10/14 17:37

質問が分かりにくくてすいません。 例えばユーザーの名前を入れてサーバーに送信したら、 今日の運勢を返すプログラムをPHPで構築したとします。 この場合ユーザーの名前を受け取るために、 外部からアクセスできるファイルが必要になります。 (仮に/var/www/html/index.php) ただ名前から運勢を算出するメインプログラム自体は、 index.phpに書いてある必要はないのでは?と思ったので、 この質問のきっかけです。 ユーザーとデータのやりとりで必要なファイルだけを、 公開ディレクトリに置いておいて、 それ以外のプログラムは見えないところに置いておく。 (仮に/var/www/cgi-bin/unsei.php) 今回の例で言えば運勢を算出するプログラム自体は、 ユーザーから見える必要がないので、 見えないところに置いておくのがいいのかなと。 ユーザーはindex.phpにアクセスして、 自分の名前をサーバーに送信します。 サーバー側はユーザーの名前をindex.phpで受け取ったら、 /var/www/cgi-bin/unsei.phpに記述した関数で 運勢を算出してindex.phpに返してユーザーに表示。 という感じになります。 普通PHPなんかでは保守性高めるために、 関数を別ファイルにしたりしますが、 その別ファイルをわざわざディレクトリも別にしたりは、 どうなんだろうと思ったり。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問