Apache版(Linux/FreeBSD)では、検査の有効・無効やログ出力先の指定、除外ルールをディレクティブで設定することができます。バーチャルホスト毎に、検査やログ出力の設定をする場合に有効です。

httpd.confによる設定

Apacheの設定ファイル(httpd.conf)では、以下の設定が可能です。

  • 検査の有効・無効
  • 監視モード
  • トラステッド・シグネチャの除外
  • 接続元IPアドレスによる検査の除外
  • ログ出力先の指定

検査の無効化

設定方法の一例となりますが、特定ファイルの検査を無効にする場合は、

<Files ~ "demo\.cgi$">
    SiteGuard off
</Files> 

のように、<Files>で”SiteGuard off“を記述します。これにより、demo.cgiへのアクセスは検査の対象外となります。

ログ出力先の指定

バーチャルホストの設定で、検出ログの出力先を指定する場合は、

<VirtualHost *:80>
    ServerName virtual1
    DocumentRoot /home/user01/html/virtual1
    SiteGuard_DetectLog /home/user01/logs/virtual1/waf-detect.log
</VirtualHost>

のように、<VirtualHost>で”SiteGuard_DetectLog 検出ログのパス“を記述します。これにより、Virtual1の検出ログは、ユーザーのlogs/virtual1/waf-detect.logに出力されるようになります。

いずれも設定後は、以下のコマンドを実行し、設定を反映してください。

# cd /opt/jp-secure/siteguardlite
# make reconfig

make reconfigにより、apachectl gracefulが実行されます。(ウェブ管理画面の[適用]ボタンを押した場合と同じです。)

.htaccessによる設定

以下の設定については、.htaccessを使用して設定することも可能です。

  • 検査の有効・無効
  • トラステッド・シグネチャの除外
  • 接続元IPアドレスによる検査の除外

.htaccessの場合、編集内容を保存した段階で、設定が適用されます。
(Apacheのサービス再起動やウェブ管理画面の[適用]ボタンを押す必要はありません。)

check_01_rd
.htaccessによる設定を有効にする場合は、SiteGuard Liteの設定ファイル(conf/siteguardlite.ini)で、htaccess_exclude=yes にする必要があります。(デフォルトno)

トラステッド・シグネチャの除外

指定したシグネチャによる検出を除外する場合は、.htaccessに

SiteGuard_User_ExcludeSig url-waf-test-1

のように、”SiteGuard_User_ExcludeSig シグネチャ名“を記述します。これにより、.htaccessを設定しているディレクトリ以下について、シグネチャurl-waf-test-1による検出が除外されます。

この設定は、httpd.confによる設定と同様、

<Files ~ "demo\.cgi$">
    SiteGuard_User_ExcludeSig url-waf-test-1,url-waf-test-2
</Files> 

のように、<Files>でも指定可能です。これにより、demo.cgiへのアクセスについて、シグネチャurl-waf-test-1とurl-waf-test-2による検出が除外されます。

複数のシグネチャを指定する場合は、カンマ区切りか、複数行に分けて指定することができます。また、allを指定することで、すべてのシグネチャによる検出を除外することができます。(SiteGuard_User_ExcludeSig all

接続元IPアドレスによる検査の除外

接続元IPアドレスを指定して、検査を除外する場合は、.htaccessに

SiteGuard_User_ExcludeSig 192.168.1.1

のように、”SiteGuard_User_ExcludeSig 接続元IPアドレス(完全一致)“を記述します。これにより、接続元IPアドレスが 192.168.1.1 の場合は、すべてのアクセスを安全とみなします。管理者アクセスを検査の対象外にする場合に有効な設定です。


以上、一部ではありますが、ディレクティブによる設定例を紹介させていただきました。
詳細については、管理者用ガイドの「Apacheのディレクティブによる設定」を参照してください。

なお、本機能は、ホスティングサービス等で活用される場合に特に便利な機能です。管理者側で設定を制御しながら、ユーザー側でのチューニングを可能にするなど、柔軟な対応が可能となります。サービス利用をご希望の際はサービスパートナーへのご加入をご検討ください。

関連コンテンツ

SiteGuardシリーズに関するお問い合わせはこちら044-201-4036受付時間:平日9:30~17:30

お問い合わせフォームご質問や資料請求、評価版など