- PR -

Htaccessディレクトリのさらなるセキュリティ対策

1
投稿者投稿内容
未記入
会議室デビュー日: 2006/07/06
投稿数: 2
投稿日時: 2006-07-06 22:19
Windows2000とApach2.0で動作しているサーバに、Htaccessでセキュリティ対策をしているディレクトリがあります。
今回、このディレクトリのセキュリティをさらに強化するため次のような案を考えてます。

1.ログイン5回失敗でロックアウトする
  このディレクトリのログインに5回失敗したら、そのIPからアクセスできないよう  にする。
2.クライアント証明書の利用
  このサーバが発行したクライアント証明書がなければアクセスできないようにする。

以上ですが、可能でしょうか? 可能な場合その方法は?
また、さらにいい方法があるでしょうか?


よろしくお願いいたします。
加納正和
ぬし
会議室デビュー日: 2004/01/28
投稿数: 332
お住まい・勤務地: 首都圏
投稿日時: 2006-07-07 00:25
引用:

未記入さんの書き込み (2006-07-06 22:19) より:
Windows2000とApach2.0で動作しているサーバに、Htaccessでセキュリティ対策をしているディレクトリがあります。
今回、このディレクトリのセキュリティをさらに強化するため次のような案を考えてます。


。。。。.htaccessがセキュリティ対策というところが、まず無理ですが。

まあ、ともかく、それらの機能要件追加となったら、.htaccessという「無料」
の対策から、「有料」の、しかも馬鹿高い(無駄だとは言わない。言いたいけど)

「ID管理」にシフトすべく、@ITの資料を使うのが一番かと。

軽く300万単位かかりますが、たいしたことはありません(言い切った)
保守費用も入りますし、悪くありません。

。。。ID管理の保守費用が、おいしいとは思えませんが。やったことがないので
違うのかもしれません。

いままでは「ID管理」は設計費用だけですら割に合わなかったわけですが
製品がたくさん出てきたから、製品の保守に「丸投げ」(「ID」言われた瞬間に
メール転送)すれば、いけるのかもしれません。

技術的事項?近年は、そんなこと誰も気にしませんよ。。。
金が入ればいいんだ(とりあえず)

#金が入れば、次の投資もできる、という意味で。
未記入
会議室デビュー日: 2006/07/06
投稿数: 2
投稿日時: 2006-07-07 09:26
早速のご回答ありがとうございます。
「ID管理」とはどうようなものでしょうか?勉強不足ですみません。

htasscessがセキュリティ対策にならないところは、ID、パスワードが平文でながれてしまうことをさしているのではと思いますが。いまのところ有効に機能してます。
ただ、不正アクセスが多いので、その対策として5回の失敗をいれればかなり向上するのではと考えてます。
あわせて、クライアント証明書を使用すれば実用レベルになるのではと思ってますがダメですか?
加納正和
ぬし
会議室デビュー日: 2004/01/28
投稿数: 332
お住まい・勤務地: 首都圏
投稿日時: 2006-07-10 23:34
引用:

未記入さんの書き込み (2006-07-07 09:26) より:
「ID管理」とはどうようなものでしょうか?勉強不足ですみません。


http://www.atmarkit.co.jp/fwin2k/insiderseye/20051103r2/r2_01.html

私の意図したのは、こんなやつです。
ただ、少し違うかな。。。

引用:

htasscessがセキュリティ対策にならないところは、ID、パスワードが平文でながれてしまうことをさしているのではと思いますが。いまのところ有効に機能してます。


へ?ああ、そういうことではありません。
逆です。いいんぢゃないですか、そのままで。
ちょうどいい「セキュリティ」対策なんぢゃないすか。無料としては。

引用:

ただ、不正アクセスが多いので、その対策として5回の失敗をいれればかなり向上するのではと考えてます。
あわせて、クライアント証明書を使用すれば実用レベルになるのではと思ってますがダメですか?


5回の失敗、を.htaccessで管理というのは私は聞いたことがありませんね。確かに。
Web系のシステムで「5回」という定義が難しいからだと思いますが。
#簡単なのは、やってやれなくはないのだろうけど、、、
#仕事なら作りますけど。apache上のモジュールとして。
#digest認証を簡単に変えるだけのなるのでしょうけど。あるのかな。

あと、SSLクライアント認証ですか。

そもそも「不正アクセス」の「問題」として
(1)よく破られる(ログインされる)
(2)たくさんアクセスがあるので、システムが遅くなる
(3)なんとなく気持ちが悪い
のどれですかね。

SSLクライアント認証を「対策」とした場合。
(1)の対策としては、運用も含めた負荷は高すぎると思いますがね。
どうしようもないなら、しょうがないですが。でも運用でパスワードを変えるとか
にしたほうがよっぽどましです。

そんなに難しくないんですけどね。

ほんとーにやるんなら。無料でSSLサーバ証明書を取れる

http://www.cacert.org/

で、SSLサーバと、ついでにクライアントも取ってしまって、p12にして、
みんなに配るというのが、安価で(無料だし)現実的だとは思います。

.htaccessの次ぐらいにはいいんぢゃないっすか。

(2)は逆効果です。

(3)ならほっとけば。と思います。

1

スキルアップ/キャリアアップ(JOB@IT)