フォーラムへの返信
- 投稿
すみません、今週来週と出張対応でバタバタしてて腰を据えて確認ができませんが、Apache 2.2形式であればうまくいっていて、2.4形式だとエラーになるということはhtaccessの記述方法の問題な気もします。
本件はphpinfoの出力結果に関係は無くApache制御方法の問題です。
GeoIPによる制御は10年ほど前に導入していましたが、少なくとも当時は正確性に欠けていた印象があり今は採用しておりません。
ただ、当サーバでは国別に加えてプロトコルに応じたアクセス制御ができる仕組みを既に作りこんでいますので、例えば「Webアクセスを日本国内に限定する」事を各ユーザがコンパネから自サイト向けに設定できるように検討してみようとは思っていました。
コンパネでの提供となるかは分かりませんが、例えばWordpressのようなCMSログイン関連のphpに関しては、既に全体設定としてアクセス元を国内に限定しています。
自サイトのWebアクセスを完全に国内に限定してしまうと、Googleなどのサーチエンジンにインデックスされなくなったり、色々問題があるので、Webアクセスに関してはこちらのサービス仕様にある拒否国以外は全許可にしています。
それでもなお、自サイトへのアクセスを国内に限定したい方向けにこの機能を提供できるかは検証が必要なので少しお時間下さい。
ブロックですが、Apacheの処理のみ一部漏れていたようで綺麗にブロックできておりませんでしたので、今朝修正しました。
もしかするとこれで改善するかもしれません。200以外に301とかもログに出ていれば。
最近当サイトにも同様のアクセスがありまして、アクセスログを見ると200と301,302,303エラーを交互に繰り返した連続アクセスだったのでこれらも対象にしてみました。
本来はブロックするようなステータスコードではない気もしますが、リクエストURLが明らかに通常アクセスではない上に、短時間に連続する場合は対象にしても良いかなと思うようになりまして。
ただ、30xに関しては少し検知のポリシーを緩くしようかと思います。ちょっとこれで様子見ます。
現在どのような方法で処理されてるのかを確認していませんが、mod_rewriteをうまく実装すれば正確なステータスコードを得られないものですかね。
私もあまりこの辺に詳しくなくて。
https://www.granfairs.com/blog/entry-3031/
私から中途半端に伝えてしまったのが大変申し訳ないのですが、全体運用としてのアクセスログ監視ではなく個別ログファイルの監視となると、僅かとはいえサーバのメモリ使用量の増加と今後も含めた個別特例対応の点からあまり好ましい事ではない気がしてきました。
試験的に監視対象ログを増やして検知するかを確認する事はできたとしても、運用性を考えると監視の定義をする管理者とログファイルの作成者が異なるべきではないと考えました。
とはいえ、せっかく作られているので、その個別エラーを出力する仕組みから.htaccessにdenyを追記するなどして対応できないでしょうか。
そのphpから”log/access.log” へ本来の形式でログを吐ければ良いんですがユーザ権限では書き込めないハズなので、リクエストURIを受け取る方法を変更するなり404はApacheに任せるなりの方法を考えて頂けないでしょうか。
他への汎用性があるものであれば全体取り込みもできるのでしょうけどそうとは思えないので。すみません。
すみません、出張で確認が遅くなりました。
Apacheのaccess.logをログを監視していて、そこでステータスコードが200だとブロックは効かないですね。
そのPHP側の404出力を何らかのログファイルに吐ければそれも監視対象にすることで検知できる可能性はありますが。
v6アドレスのfirewalldの設定(スクリプト)が中途半端でした。
修正したので意図した通り動作するはずです。申し訳ありませんでした。
ちなみにサービス内容ページに追記しましたが、現在のファイアウォールポリシーは下記の通りです。
- 国内からのアクセスはdns, http, https, smtp, smtps, pop3s, imaps, ftp, ssh, 8080を許可
- 国外からのアクセスはdns, http, https, smtpを許可
- 下記の国コードからのアクセスは全ポートブロック
cn, kr, hk, tw, ru, nl, mx, cl, gt, pl, br, fr
(Googleなど一部のネットワークは許可。v6アドレスは許可)