IPアドレスではなくドメイン名に対して行われた要求にのみ応答するようにApache Webサーバーを構成するにはどうすればよいですか?


1

IPアドレスによってアクセスされたときに、サーバーがホームページを提供しないようにしたいと思います。

これは、ワームがサイトをスパイダーするのを防ぐためです。ワームはランダムにIPアドレスをスキャンし、サイトを見つける可能性があります。サイトがドメイン名のみに応答する場合、IPアドレスをスキャンするだけのほとんどのワームはサイトに到達しません。

IPアドレスではなくドメイン名に対して行われた要求にのみ応答するようにWebサーバーを構成するにはどうすればよいですか?


1
@Begueradj:Webアプリを強化することは、このサイトのトピックの主題の一部ではありませんか?
WhiteWinterWolf

IPに仮想ホストを追加し、実際のドメインに別の仮想ホストを追加するとどうなりますか?
Purefan

@Begueradj:キャッチオールドメインは、Webサーバー構成に含まれる一般的なセキュリティ機能であり、簡単なチェックの後、現在Security.SEのどこにも記載されていないので、これは良い機会になるでしょう:)。ただし、この共通の機能は特定のWebサーバーに固有のものではないため、ここで入手可能なすべてのWebサーバーの実際の実装については議論の余地がないことに同意します。
ホワイトウィンターウルフ

回答:


1

キャッチオールドメインと呼ばれるものを定義する必要があります。

正確な構成は、使用するWebサーバーのタイプとバージョンによって異なります。たとえば、Apache 2では、_default_vhostの定義が行われます。

ただし、考え方は常に同じです。

  • 扱うドメインごとに一致する複数の仮想ホスト(またはWebサーバーソフトウェアに応じて同等のもの)を定義します。
  • 他のドメインと一致するキャッチオール仮想ホストを1つ定義し、サーバーのデフォルトの動作を保証します(接続の拒否、適切なデフォルトURLへのリダイレクトなど)。

キャッチオールドメイン」という名前がわかれば、Webサーバーのマニュアルやオンラインのハウツーを確認して、この機能を独自の環境に実装する方法を学ぶのに何の困難もないはずです。


1

ModSecurityはあなたのためにそれを行うことができます。これは、Apache / IIS / Nginxモジュールとして実行されるWebアプリケーションファイアウォールです。DigitalOcianは、Debian / Ubuntu向けの簡単な入門ガイド作成しました。ただし、ディストリビューションによっては、パッケージ名が異なる場合があります。たとえば、CentOSベースのAmazon Linuxでは、によってインストールされsudo yum install mod_security mod_security_crsます。mod_securityはモジュールそのものmod_security_crsですが、コアルールのバンドルです。IPベースのリクエストのブロックはその中にあります。その他は、SQLインジェクションなどを防ぎます。

どのルールがアクティブであるかを知ることは大きな責任です。ModSecurityを有効にしてWebサイトをクリックし、すべてのユーザーアクションがまだ可能かどうかを確認する必要があります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.