トップ 履歴 一覧 カテゴリ ソース 検索 ヘルプ RSS ログイン

Apache/htaccess

INDEX

Apache HTTP サーバの .htaccess を使ったアクセス制御など

パスワード認証によるアクセス制限

Basic認証を利用して、特定のディレクトリ以下のページにアクセスした際に、IDとパスワードを正しく入力しないとコンテンツにアクセスできないようにします。

## .htaccess 記述例
AuthType Basic
AuthName "Authentication system name"
AuthUserFile /home/hogehoge/.htpasswd
AuthGroupFile /dev/null
Require valid-user

AuthType」には認証方式を指定します。指定できる方法は「Basic」と「Digest」の2種類。Digest認証の方がよりセキュリティが高いですが、古いブラウザでは対応していなかったり、「mod_autu_digest」モジュールが組み込まれている必要がある。一方、Basic認証はほとんどのブラウザで対応されているが、入力したIDとパスワードはBASE64でエンコードされているだけなので見る人が見たら判る。

AuthName」には認証領域の名前を指定します。ダイアログに表示され利用者がどのユーザとパスワードを入力すればよいかを教えるのに利用する。スペースが含まれる場合は、引用符で囲む必要がある。また、マルチバイトも利用できるが文字コードを気にする必要があるので、利用しない方が無難。

AuthUserFile」には、ユーザ認証のためのユーザとパスワードの一覧を格納した テキストファイルの名前を設定する。絶対パスか ServerRoot からの相対パスで指定する。ファイルの各行には、ユーザ名、コロン、 暗号化したパスワードで記述する。作成・編集は、htpasswd コマンドを利用する。

AuthGroupFile」には、ユーザグループの一覧が格納した、テキストファイルの名前を設定する。絶対パスか ServerRoot からの相対パスで指定する。グループ分けしなければ「/dev/null」でよい。ファイルの各行には、グループ名、コロン、そしてスペース区切りでそのメンバーのユーザ名を記述する。

Require」には、どの認証済みユーザがリソースをアクセスできるかを指定する。認証されたすべてのユーザを許可する場合は「valid-user」を、指定したユーザのみ許可する場合は「user」を指定しその後ろに許可するユーザ名をスペース区切りで列挙、指定したグループの場合は「group」を指定しその後ろに許可するグループ名をスペース区切りで列挙する。

特定ホストのアクセス制限

特定のホスト名やIPアドレスからのアクセスを拒否、または、許可する。環境変数による制御は後記

## .htaccess 記述例
Order allow,deny
Allow from all
Deny from example.com

Order」は、デフォルトのアクセス可能な状態と、後記の Allow と Deny が評価される順番を指定する。「Deny,Allow」とした場合、デフォルトでアクセスは許可となり、Deny に一致しないか、Allow に一致するものが許可される。また、「Allow,Deny」とした場合、デフォルトでアクセスは拒否となり、Allow に一致しないか、Deny に一致するものが拒否される。

Allow」および「Deny」には、許可もしくは拒否するホスト名、IPアドレスなどを指定します。

## .htaccess 記述例
# ドメインが example.com のプロバイダのみ拒否
Order allow,deny
Allow from all
Deny from example.com

## .htaccess 記述例
# IPアドレスが 192.0.2.1 を拒否
Order allow,deny
Allow from all
Deny from 192.0.2.1

## .htaccess 記述例
# IPアドレスが 192.0.2 を許可
# IPアドレスが 192.0.2.0/255.255.255.0 を許可
# IPアドレスが 192.0.2.0/24 を許可
# ※3つともまったく同じホストを指します。
Order deny,allow
Deny from all
Allow from 192.0.2
Allow from 192.0.2.0/255.255.255.0
Allow from 192.0.2.0/24

参照元(Referer)によるアクセス制限

画像ファイルなどは、IMGタグやAタグなどで表示されるので、通常リファラはそのhtmlのアドレスとなる。第三者のページから直接参照されないようにアクセス制限します。画像のみなど特定のファイルを対象にする場合は、後記とあわせて対象のみになるようにする。

## .htaccess 記述例
SetEnvIf Referer "^http://www\.example\.com" allowRef
order deny,allow
deny from all
allow from env=allowRef

SetEnvIf」を利用して、リクエストの属性に基づいて環境変数を設定する。大文字小文字を区別しない場合は「SetEnvIfNoCase」を利用する。

上記の例の場合、1行目で「Referer」が「http://www.example.com」で始まる場合、「allowRef」の環境変数が設定される。4行目の「env=allowRef」によって「allowRef」の環境変数が設定がされている場合に許可される。それ以外は拒否される。

もっとも、セキュリティソフトによってリファラを送信しないように設定されていたり、リファラ自体が偽装可能なのでこの辺の考慮も必要になる。

ブラウザ(UserAgent)によるアクセス制限

ダウンロード支援ソフトによるアクセス(短時間に大量のアクセスが発生する)や検索エンジンの巡回ロボットなどのアクセスを制限する。

## .htaccess 記述例
#BrowserMatch "Downloader" denyUA
SetEnvIf User-Agent "Downloader" denyUA
order allow,deny
allow from all
deny from env=denyUA

BrowserMatch」を利用して、HTTP User-Agent に基づいて環境変数を設定する。大文字小文字を区別しない場合は「BrowserMatchNoCase」を利用する。

BrowserMatch は SetEnvIf の特例で、以下は同じ効果になる

BrowserMatch "Downloader" denyUA
SetEnvIf User-Agent "Downloader" denyUA

もっとも、ユーザエージェント自体が偽装可能なのでこの辺の考慮も必要になる。

特定のファイルにアクセスできないようにする

DocumentRoot 配下に置かれているファイルは、リンクが張られていなくても直接アドレスを入力すればアクセスが出来る。特定の拡張子やファイルにアクセスできないようにする。

## .htaccess 記述例
<Files ~ "\.(dat|log)$">
    deny from all
</Files>

<Files>」を利用して条件にマッチするファイルに対して制限などを適用する。ファイル名もしくはワイルドカード文字列で指定する。また、"~"を付加することで拡張正規表現が利用できるが、「<FilesMatch>」を使う方が推奨されている。

 .htaccess 自体にアクセスできないようにする

せっかく .htaccess を利用してコンテンツを保護しても、.htaccess そのものにアクセスできてしまっては、効果がなくなってしまいます。特に .htpasswd (慣例の名前で任意になるが)は、暗号化されているとはいえパスワードが記述されています。なので、これらのファイルにアクセスできない(403 Forbidden などとなる)ようにする必要があります。

サーバの設定でアクセス拒否されている場合はいいのですが、そうでない場合は以下のように設定する。もっとも、.htpasswd は、DocumentRoot 配下以外に置きそもそもアクセスできないようにする方が安全です。

# deny to access htaccess.
<Files ~ "^\.ht">
    deny from all
</Files>

リダイレクト機能(ディレクトリ単位)

ディレクトリ構成の変更した場合に、そのURLにアクセスした場合にリダイレクトするように指定する。

## .htaccess 記述例
# /test/wiki/ のアクセスを http://www.example.com/wiki/ へ
Redirect permanent /test/wiki http://www.example.com/wiki

Redirect」を利用して外部へリダイレクトします。2番目の status 引数はクライアントに通知するステータスコードをしていする。「permanent」は永久に移動したことを示す(コード301)、「temp」は一時的なリダイレクトを示す(302)、省略した場合は「temp」となる。また、「RedirectPermanent」は「Redirect premanent」と、「RedirectTemp」は「Redirect temp」と同じ。

上記の例の場合、/test/wiki/wiki.cgi は http://www.example.com/wiki/wiki.cgi へ、/test/wiki/wiki.ccs は http://www.example.com/wiki/wiki.css へとリダイレクトされる。

リダイレクト機能(ファイル単位)

特定のファイルだけ別の場所に移した場合に、そのURLにアクセスした場合にリダイレクトするように指定する。

## .htaccess 記述例
# 画像ファイルのアクセスを http://img.example.com/ へ
Redirect permanent (.*\.jpg) http://img.example.com$1

RedirectMatch」を利用して正規表現のマッチするURLを外部へリダイレクトします。2番目の status 引数は「Redirect」と同じ。

ディレクトリにアクセスした際の動き

通常 http://www.example.com/ などにディレクトリにアクセスした場合、ディレクトリ内に特定のファイルがあるかを探し、見つかった場合そのファイルの内容を表示する。

## .htaccess 記述例
DirectoryIndex index.html index.htm index.shtml index.cgi index.php

DirectoryIndex」を利用してディレクトリをリクエストしたときに調べるリソースのリストを指定する。列挙された順番でディレクトリ内を探す。

このとき、該当するファイルが見つからない場合で、mod_autoindex が有効(Options +Indexes)の場合、ディレクトリ内の内容一覧が表示される。この一覧を表示するかは「Options」で「+Indexes」もしくは「-Indexes」を指定することで表示するかしないかを制御できる。

最終更新時間:2009年01月29日 00時28分30秒 指摘や意見などあればSandBoxのBBSへ。

ようこそ、ゲスト さん

メニュー

検索

キーワード

最新

2026/6/1

2026/5/23

2026/5/20

2026/5/19

2026/5/17

Copyright (C) 2002 たけ
Powered by FreeStyleWiki3.6.5 with Perl5.016003