DreamerDreamのブログ

夢想家の夢です。〜揚げたてのモヤっとしたものをラフレシアと共に〜

Apache2

せっかくHTTPS化にしたのならSSL/TLSの状態をテストしてもっとセキュアにしましょう

以前にDjangoで作ったサイトをSSL化しました。 dreamerdream.hateblo.jp Djangoはセキュリティー面ではかなり優秀な分類で、特に何もしなくても(というか、いらないことをしなければ)フォームなどリクエストに対して適切なエスケープ処理をしてくれます。 …

Djangoの使い方⑩サイトをhttps(SSL)サイトにする

以前記事から随分と時間が経ってしまいましたが、DjangoでWebサイトを構築しました。 dreamerdream.hateblo.jp Webサイトの紹介はしませんが、今回はそのDjangoで作ったWebサイトをhttps(SSL)化します。 ここ最近ではセキュリティーの関係でhttpプロトコル…

WordPressのWebページ管理者は要注意!!Webページの不正アクセスログを集計してみた

僕が公開しているWebサイトの不正アクセス履歴を調べてみました。 今回の対象はざっと7000アクセス程度ですが、エンドポイント http://www/サイトアドレス/ [ ここの部分 ] へのアタックを集計して書き出してみました。(一部です)リストの下ほどアクセス数…

Apacheで同じIPアドレスでドメインごとにWebページを綺麗に振り分ける方法

Webサーバーの作り方を知ってホームページを自作するとき、「複数のページをドメインごとに振り分けたい」と思うことがあるでしょう。 ドメインとIPアドレスと接続ポートの関係性を知った段階の人なら 「複数のドメインで複数のホームページを開くにはポート…

Djangoの使い方⑥cssを含むstaticディレクトリのコピー

以前の記事のようにApacheでDjangoのページを表示しようとするとレイアウトが崩れることがあります。 dreamerdream.hateblo.jp 原因はデフォルトのスタイルシート、staticディレクトリが読み込めないということです。 本来、このような型で表示されるべきと…

Djangoの使い方⑤ユーザー認証を追加する(会員ページ、ユーザー専用ページ)

前回はApacheのドキュメントルート以外でDjangoを動かしました。 dreamerdream.hateblo.jp 今回はDjangoのサーバー機能を使ってユーザー認証機能のテストをします。 ユーザー認証は会員専用ページとかユーザー専用のページを作るには必須事項です。 Djangoは…

Djangoの使い方④サーバー連携Ⅱ(Apache2のドキュメントルート以外でDjangoを動かす)

前回、Apacheのデフォルトドキュメントルート「/var/www」以下でApacheとDjangoを連携しました。 dreamerdream.hateblo.jp 今回はApacheのドキュメントルート以外でDjangoプロジェクトと連携します。 何故って?それはApacheの設定ミスやセキュリティーホー…

Djangoの使い方③サーバー連携Ⅰ(Apache2とDjangoの連携テスト)

前回はDjangoアプリケーションを作ってみました。 dreamerdream.hateblo.jp そうすると本格的な運用環境が気になりますよね? Djangoのサーバー機能はテスト用なので本格運用となるとサーバーソフトが必要になります。 いくらDjango上で上手く動いていても本…

レンタルサーバー、VPS、自宅サーバー、結局どれを選ぶべきなのか

ネット上にWebページなどの情報を公開するにはいくつか方法があります。 大きく分けて3つ。そのなかでも有料無料など分野が別れます。 レンタル(Web)サーバー <無料レンタルサーバー> <有料レンタルサーバー> VPS <無料VPS> <有料VPS> 自宅サーバ…

lolipopサーバーにWordPressをインストールする

レンタルサーバーLOLIPOP!に申し込んでみました。 dreamerdream.hateblo.jp lolipopでは予め便利なCMSが簡単インストールとして用意されています。 今回は有名なWordPressをインストールします。 WordPress簡単インストールを選択。 サイトのURLでサブディレ…

レンタルサーバー「LOLIPOP!」を申し込んでみた

以前にラズパイで自宅サーバーを構築しました。 dreamerdream.hateblo.jp 今回は外部サービスを利用してみようと思います。 レンタルWebサーバーLILIPOP!は言わずと知れたWebサーバーの大御所です。 px.a8.net LOLIPOP!にはWebサービスに必用なものが殆ど入…

Apacheの.htaccessを利用しプロキシ経由のアクセスをブロックするPythonコードを作ってみた

Apacheのログを観察しているとプロキシ経由での不正なアクセスが目立つ。 なのでApacheのアクセス制限を利用してプロキシ経由でのアクセスを予めシャットアウト出来ないかと考えた。 まずは普通にIPアドレス制限の方法(以下sampleは任意のディレクトリ若し…

Apacheのログを観察 - PHPの脆弱性を狙った攻撃 -

ログにボットによる巡回を発見しました。 phpMyAdminを狙った攻撃手段だそうです。 phpMyAdminを狙った攻撃観察 - ろば電子が詰まっている PHPを利用していない僕ですが、やめてくれ!RaspberryPiだとSDカードにログを書き込むというダメージが・・・

Apacheのログを観察 - bashの脆弱性を狙った攻撃 -

アクセスログを見ているとボットによる攻撃が目に付きます。 どうやら今回はbashの脆弱性を狙った攻撃のようです Bashに深刻な脆弱性「Shellshock」が発覚!至急アップデートを Bashのバージョンは dpkg -l bash で確認出来ます。 そういえばどうなんだろ?…

RaspberryPiを自宅サーバーにするためにーディレクトリ内部を表示させないー

ディレクトリを指定してアクセスされた時にディレクトリ内部を表示したくない。 セキュリティ上よろしくない。 そんなときはディレクトリ内を表示しないように設定出来る。 cd /etc/apache2 で移動して sudo nano apache2.conf で編集 Options Indexes Follo…

RaspberryPiを自宅サーバーにするためにーWebページエラーでApacheバージョン等を表示させないー

Webサーバーで存在しないファイルへアクセスされた場合、「404 Not Found」が表示される。 しかし、デフォルトのままではメッセージの下にサーバのバージョンが表示される。 このままではRaspbianで動いているのでRaspberryPiサーバだとバレバレになるのでダ…

Apacheにsudo実行権の追加

Apacheからpythonを介してGPIO操作するにはsudo実行権が必要なようなのでApacheにsudo権を与える事にした。 実行権の変更はvisudoコマンド sudo visudo ここでユーザーごとに実行できるコマンドを指定する事が出来ます。 www-data ALL=(ALL) NOPASSWD: ALL …

BottleとApache2を連携させる。

前回 dreamerdream.hateblo.jp BottleとApacheとの連携には「アダプタ」というものが必要らしい。 アダプタとはWSGIというWEBサーバの共通インターフェースとかいうものらしいが詳しくは良くわからない。 とにかくWSGIをいうものをインストールしてApacheに…

RaspberryPiでオレオレ証明書を発行してSSL通信する。

https://〜で取得されるウェブページはSSL接続といって暗号化されたセキュアな通信が保障されている。 dreamerdream.hateblo.jp httpsプロトコルを利用すると 認証局から安全なサイトであるという信頼を得ている 暗号化通信を行うのでハッキングの被害に遭い…

https://cdn.profile-image.st-hatena.com/users/DreamerDream/profile.png私、(PONさん (@o_n_pon) | Twitter)を応援してくださるお優しいかたは15円から投げ銭可能ですので↓よりカンパをお願いしますm(_ _)m

kampa.me