Apache HTTP サーバ バージョン 2.4
Apache HTTP サーバ バージョン 2.4
翻訳済み言語: tr
設定ファイル中のディレクティブは サーバ全体に適用されたり、特定のディレクトリやファイル、ホスト、URL にのみ 適用されるように制限したりすることができます。この文書は設定用のセクションの コンテナや .htaccess ファイルを使って他の設定ディレクティブの スコープを変更する方法を説明します。
| 関連モジュール | 関連ディレクティブ |
|---|---|
コンテナには二つの基本となる種類があります。ほとんどのコンテナは 各リクエストに対して評価されます。その場合、コンテナ中のディレクティブは コンテナにマッチするリクエストにのみ適用されます。一方、 <IfVersion> コンテナは サーバの起動時と再起動時にのみ評価されます。起動時に条件が真であれば、 コンテナ中のディレクティブはすべてのリクエストに適用されます。条件が 偽であれば、コンテナ中のディレクティブは無視されます。
httpd コマンドラインで適切なパラメータが定義されたときにのみ 適用されるディレクティブを囲います。例えば次の設定では、サーバが httpd -DClosedForNow を使って起動されたときだけすべての リクエストを別のサイトにリダイレクトします:
<IfDefine ClosedForNow>
Redirect / http://otherserver.example.com/
</IfDefine>
Loodule の行がより前の 部分に書かれている必要があります。このディレクティブは特定のモジュールの 存在に関わらず設定ファイルが動作する必要がある場合にのみ使ってください。 常に動作して欲しいディレクティブを囲むために使うべきではありません。 存在しないモジュールに関する有用なエラーメッセージの発生を抑制してしまいますので。
次の例では、MimeMagicFiles ディレクティブが 適用されます。
<IfModule mod_mime_magic.c>
MimeMagicFile conf/magic
</IfModule>
<IfModule>と、 とてもよく似ていますが、稼働中のサーバのバージョンが特定のバージョンの時にのみ 適用されます。様々なバージョンの httpd を様々な設定で動作させることになる場合で、 テストスイートや巨大なネットワークでの用途を想定して、 このモジュールは設計されています。
<IfVersion >= 2.1>
# this happens only in versions greater or
# equal 2.1.0.
</IfVersion>
<IfVersion> ディレクティブは テストの前に "!" を付けることで否定の条件を適用することができます。 また、これらのセクションはより複雑な制限を課すために入れ子にすることができます。
最もよく使われる設定のセクションコンテナはファイルシステムやウェブ空間の 特定の場所の設定を変更するものです。まず、この二つの違いを理解することが 大切です。ファイルシステムはオペレーティングシステムから見たディスクの内容です。 たとえば、デフォルトのインストールでは Apache は Unix ファイルシステムでは /usr/local/apache2 に、Windows ファイルシステムでは "c:/Program Files/Apache Group/Apache2" に存在します。 (Apache では Windows でもパスセパレータとしてスラッシュを使うことに 気をつけてください。) 対照的に、ウェブ空間はあなたのサイトを ウェブサーバから配信されるものとして見たもので、クライアントに見えるものです。 デフォルトの Unix 上の Apache のインストールではウェブ空間の /dir/ というパスはファイルシステムの /usr/local/apache2/htdocs/dir/ というパスに対応します。 ウェブページはデータベースや他の場所から動的に生成することもできますので、 ウェブ空間はファイルシステムに直接マップする必要はありません。
.htaccess ファイルを 使うことでも同じ効果を得ることができます。例えば、次の設定では /var/web/dir1 とすべてのサブディレクトリに対して ディレクトリインデックスを行ないます。
<Directory /var/web/dir1>
Options +Indexes
</Directory>
<Files> セクションの 中にあるディレクティブはどのディレクトリにあるかに関わらず、指定された名前の すべてのファイルに適用されます。ですから例えば以下の設定ディレクティブが 設定ファイルの主セクションに書かれたときには、すべての場所の private.html という名前のファイルへのアクセスを拒否します。
<Files private.html>
Order allow,deny
Deny from all
</Files>
ファイルシステムの特定の場所にあるファイルを指定するために、 <Directory> セクションを 組み合わせることができます。例えば、次の設定では /var/web/dir1/private.html, /var/web/dir1/subdir2/private.html, /var/web/dir1/subdir3/private.html など、 /var/web/dir1/ ディレクトリの下にあるすべての private.html へのアクセスを拒否します。
<Directory /var/web/dir1>
<Files private.html>
Order allow,deny
Deny from all
</Files>
</Directory>
一方、正規表現版は ウェブ空間上の内容に対して設定を変更します。 たとえば、次の設定では /private で始まる URL パスへのアクセスを制限します。 具体的には、 http://yoursite.example.com/private, http://yoursite.example.com/private123, http://yoursite.example.com/private/dir/file.html へのリクエストや、 他の同様に /private 文字列で始まるリクエストに 適用されます。
<Location /private>
Order Allow,Deny
Deny from all
</Location>
mod_statusで提供されている Apache 内部ハンドラにマップするかを示しています。ファイルシステムに server-status というファイルが存在する必要はありません。
<Location /server-status>
SetHandler server-status
</Location>
<Location> ディレクティブでは、 C 標準ライブラリの fnmatch のように shell スタイルのワイルドカードキャラクタが使用できます。 "*" 文字は任意の文字列にマッチし、"?" 文字は任意の 1 文字にマッチし、 "[seq]" は seq の任意の文字にマッチします。 "/" 文字はどのワイルドカードでもマッチされません。 明示的に指定する必要があります。
これより柔軟なマッチングが必要な場合は、これらのコンテナに正規表現 (regex) 版である 正規表現を使用できます。しかし、次の設定のマージに目を通して、 regex セクションを使用することで、ディレクティブの適用がどのように 変化するか把握しておいてください。
全ユーザディレクトリの設定を変更する、非 regex ワイルドカードセクションは次のようになります。
<Directory /home/*/public_html>
Options Indexes
</Directory>
regex セクションを使用することで、画像ファイルの多くのタイプに対する アクセスを一度に拒否できます。
<FilesMatch \.(?i:gif|jpe?g|png)$>
Order allow,deny
Deny from all
</FilesMatch>
ファイルシステムコンテナとウェブ空間コンテナを使い分けるのは、 実際には非常に簡単です。ファイルシステムに依存する オブジェクトにディレクティブを適応する場合は、必ず <Location> を使用します。
ファイルシステム上のオブジェクトへのアクセスを制限するために、 <Location> を決して使用ないようにしましょう。 同一のファイルシステム位置にマップしている、ウェブ空間位置 (URL) が多数あって、設定した制限を迂回されてしまうかもしれないからです。 例えば次の設定を考えてみましょう。
<Location /dir/>
Order allow,deny
Deny from all
</Location>
http://yoursite.example.com/dir/ へのリクエストでは上手く動作します。しかし大文字小文字を区別しない ファイルシステムを使っていたらどうなるでしょう? http://yoursite.example.com/DIR/ へのリクエストで簡単にアクセス制限を迂回されてしまいます。これに対して Options ディレクティブを使用してシンボリックリンクを無効にするべきです。)
大文字小文字を区別するファイルシステムを使用しているから上記のことは 無関係だと思われるかもしれませんが、 同一のファイルシステム位置に複数のウェブ空間位置をマップする方法は、 他にいくらでもあるということを覚えていてください。 ですからできる限りファイルシステムコンテナを使用してください。 しかしながら一つだけ例外があります。 <Location /> セクションはどんな URL にも関わらず適用されるので、完全に安全です。
バーチャルホストドキュメントを ご覧下さい。
mod_proxy プロクシサーバを経由してアクセスしたサイトに対してのみ適用される 設定ディレクティブを格納します。例えば次の設定は、cnn.com ウェブサイトにアクセスするために用いられるプロクシサーバを 制限します。
<Proxy http://cnn.com/*>
Order allow,deny
Deny from all
</Proxy>
どのタイプの設定セクションでどのディレクティブが使用できるかは、 ディレクティブの <ProxyMatch> セクションで使用可能です。しかしながら幾つか例外も存在します。
<Directory> セクションでのみ使用可能です。FollowSymLinks と SymLinksIfOwnerMatch の <Directory> セクションか .htaccess ファイルでのみ使用可能です。<FilesMatch> セクションでは使用できません。
マージの順番は以下のようになっています:
<Directory> を上書きします)<DirectoryMatch> (と <Directory ~><FilesMatch> を同時に<LocationMatch> を同時にInclude ディレクティブの位置にあったかのように扱われます。
<VirtualHost> セクション中のセクションは バーチャルホストの定義の外側の対応するセクションの 後に適用されます。これによりバーチャルホストが メインのサーバ設定を上書きできるようなります。
<Proxy> コンテナに取って代わられます。
後のセクションのディレクティブが前のセクションのものを上書きします。
Alias や DocumentRoot が使用されるところ) の直前に <LocationMatch> が行なわれます。 これらを適用した結果は変換が終わった後に完全に捨てられます。
次はマージの順番を示すための恣意的な例になっています。 リクエスト全てに適用されるとして、本例のディレクティブは A > B > C > D > E の順番に適用されます。
<Location />
E
</Location>
<Files f.html>
D
</Files>
<VirtualHost *>
<Directory /a/b>
B
</Directory>
</VirtualHost>
<DirectoryMatch "^.*b$">
C
</DirectoryMatch>
<Directory /a/b>
A
</Directory>
もっと具体的な、次の例を考えてみましょう。 <Location> セクションが最後に評価されて、サーバへのアクセスは制限されません。 言い換えれば、マージの順番は重要で、注意して使用してください!
<Location />
Order deny,allow
Allow from all
</Location>
# Woops! This <Directory> section will have no effect
<Directory />
Order allow,deny
Allow from all
Deny from badguy.example.com
</Directory>
翻訳済み言語: tr