質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.57%

外部実行するスクリプトの置き場所はどこがいい?

解決済

回答 2

投稿

  • 評価
  • クリップ 2
  • VIEW 2,433

1nakaji

score 183

現在、AWSのEC2インスタンスで
サーバーを構築しています。

そこで不特定多数のユーザーが
バーチャルホストの設定をできるようにしたいです。

どこかのWebページでユーザーがドメイン登録をすると、
/etc/httpd/conf.d/*.conf
にバーチャルホストの設定ファイルが作成され、
設定を反映させるためにhttpdが再起動するものです。

バーチャルホストの設定ファイルを作成する
スクリプト自体は今は/home/bin/という
ディレクトリ内に置いてあります。

スクリプトはcgiでperlで書いてます。

アパッチのドキュメントルートは/home/に変更してあるため、
/home/bin/内のファイルは外部からアクセスできます。

まず一つ目がそういうファイルを
外部からアクセスできるところに置いておくのが、
いいかどうかというのが一つあります。

セキュリティ的に大丈夫なのかなと。

それならスクリプト本体は外部からアクセスできない
/var/www/cgi-bin/のようなディレクトリに置き、
/home/bin/にはスクリプトを実行するだけの
ファイルを置いておく方がいいのかと。

/home/bin/内にスクリプト本体を置いておいても、
受け取る値のチェックをしっかりするなど、
セキュリティ面を考えておけば問題ないなど。

通常のサーバー運用では、
この辺りはどのようにするのでしょうか?

アドバイスいただけますと幸いです。
よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+1

もう少し前提条件を書いていただけるとありがたいのですが、ここでは、下記の3つの観点で考えてみます。

  • スクリプトの不正実行
  • スクリプトのソース閲覧
  • スクリプトの想定外利用(悪用)

スクリプトの不正実行については、スクリプト本体がどこに置かれていたとしても、直接または間接に起動自体はできるわけで、できなければスクリプトを使うことができません。この点については、置き場所は関係ありません。

スクリプトのソースが閲覧できてしまうかもしれない、という脅威については、スクリプトの置き場所が関係します。外部から参照できない場所に置かれていれば、ソースが閲覧されることは(ディレクトリトラバーサル等の脆弱性がなければ)できません。それでは、外部から参照できる場所にスクリプトを設置していたらソースが閲覧できてしまうかというと、それはできないように設定するわけで、もしソースが閲覧できたら脆弱性です。スクリプトの置き場所によってソースコード閲覧の可能性はちょっぴり変わりますが、大きくくくると、「脆弱性がなければソースは閲覧されず、脆弱性があればソースが閲覧される可能性がある」ということでは変わりありません。

スクリプトの想定外利用(悪用)について言えば、スクリプトの脆弱性に関係があり、スクリプトの置き場所については通常変わりありません。

ということで、スクリプトの置き場所が関係するのは、ソースコードが外部から閲覧されるかどうかくらいですが、正しい設定がしてあればPHPやCGIのソースは外部から閲覧できないので、通常それは気にしない場合が多いです。

しかしながら、PHPを複数のファイルに分割して、それをinclude/requireする場合、includeするファイルの方を単独で起動したら悪いことが起きる、という可能性は考慮しておく必要があります。それを考慮して、include/requireするファイル(ライブラリ)を外部から参照できない場所に設置することは多いです。しかしこれは、ファイルを分割したために起きる問題ですので、ファイルを閲覧できない場所に置くことを目的として、ファイルを分割する理由にはならないと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/21 03:13

    ありがとうございます。セキュティ的に分割するというのはあまりないのですね。

    キャンセル

+1

どこにおくべきかは種類、用途によりますし質問内容がちょっと漠然としているので答えづらいところですが、とりあえず誰でも簡単に判断がつく一番簡単なものは。。。

 それは全世界に公開する必要があるのか?

 事故が起きたりして見られても泣かないものか?

だと思います。

公開する必要がないものは見えるところに置く必要はないですし、事故が起きたりして見られたら泣いちゃうようなものは見えるところに置くべきではありません。

と、私は思います。はい。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/15 02:37

    質問が分かりにくくてすいません。

    例えばユーザーの名前を入れてサーバーに送信したら、
    今日の運勢を返すプログラムをPHPで構築したとします。

    この場合ユーザーの名前を受け取るために、
    外部からアクセスできるファイルが必要になります。
    (仮に/var/www/html/index.php)

    ただ名前から運勢を算出するメインプログラム自体は、
    index.phpに書いてある必要はないのでは?と思ったので、
    この質問のきっかけです。

    ユーザーとデータのやりとりで必要なファイルだけを、
    公開ディレクトリに置いておいて、
    それ以外のプログラムは見えないところに置いておく。
    (仮に/var/www/cgi-bin/unsei.php)

    今回の例で言えば運勢を算出するプログラム自体は、
    ユーザーから見える必要がないので、
    見えないところに置いておくのがいいのかなと。

    ユーザーはindex.phpにアクセスして、
    自分の名前をサーバーに送信します。

    サーバー側はユーザーの名前をindex.phpで受け取ったら、
    /var/www/cgi-bin/unsei.phpに記述した関数で
    運勢を算出してindex.phpに返してユーザーに表示。

    という感じになります。

    普通PHPなんかでは保守性高めるために、
    関数を別ファイルにしたりしますが、
    その別ファイルをわざわざディレクトリも別にしたりは、
    どうなんだろうと思ったり。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.57%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る