2014年8月22日金曜日

3s3s.orgを.htaccessで拒否する具体的な設定例のメモ

3s3s.orgってなんじゃらほい?


----------
先に言っておこう。「3s3s.org」と書いてるけど内容的には「.htaccess」で特定のIPアドレス/ホストからのアクセスを遮断する方法についてのエントリである。
----------

セキュリティ関連の人たちをTwitterなんかでフォローしているとたまに見かける「3s3s.org」ってドメイン。「これなんだろー?」って気にはなっていたもののずっと放置していたボクな訳ですが、ようやく重い腰を上げて見てみましたよ。

「偽サイトが作られた!」と一部で騒ぎになってたらしいのですが、要はアクセスをお断りされたサイトを見られるようにしてやんよ!……って感じのブツらしい。英語ページには「Sites Unblocker and Anonymizer」って書いてあるから、匿名で(*1)アクセスできるようにって意図もあるのかしら。

それ自体はまあ問題ないといえば問題ないんだけど、個人はともかくとしてコーポレートサイトなんかだと騒ぎになるよねぇ……というのが正直なお気持ち。

下記のサイトなんかが詳しく解説してあるんじゃないかなっておもうので、目を通しておくが吉。


Hey!具体的な設定例がみつかんねぇYO!


先のサイトには「キャッシュしてなくて都度アクセスしてくる仕組みっぽいから3s3s.orgを.htaccessではじいちゃえばOKっぽいZE☆」(*2)ってことらしいんだけども、じゃあ具体的にどう設定すれば良いの?……ってネタがネット上に転がってないことに気づいた。ボクの目が節穴なだけって説もあるけど。

いや、「.htaccessではじく」ってことだから後はググれば良いだけの話なんだけども、とっさに設定しなきゃ……ってときには少々都合が悪い場合もありそうな気がするので、自分の為に設定例をメモっておこうというのがこのエントリの趣旨。例によって流用するときは自己責任で。

具体的には下記の通り。手元にはApache2.4な環境しかないので、「For Apache 1.x/2.0/2.2」の方は試せてないから上手く動かないかも。あとApache以外はシラネ。

# For Apache2.4
<RequireAll>
    Require all granted
    Require not host 3s3s.org
    Require not ip 178.62.181.6
</RequireAll>

# For Apache 1.x/2.0/2.2
order allow,deny
allow from all
deny from 3s3s.org
deny from 178.62.181.6

当然のことながら、「.htaccess」に設定を書こうとしているなら「.htaccess」が使える環境になっている必要がある(*3)。あと、「httpd.conf」あたりで「AllowOverride AuthConfig」となっている必要がある(*4)。さもなくばInternal Server Errorになったり、拒否されなかったりするはず。共用タイプのレンタルサーバだと、「.htaccess」の使用や記述内容に制限があったりするからひょっとしたらうまくいかなかったりするかもね。まず大丈夫だと思うけど。

言うまでもないかもしれないけど、すでに「.htaccess」が存在している場合は元の記述を消さないように気を付けること。あと、自分が何をやろうとしているのかを把握しておくこと。

あと、「Require not host 3s3s.org」だけだとはじいてくれなくてちょっと悩んだ。試したわけじゃないから断言はできないんだけど、「httpd.conf」あたりで「HostnameLookups Off」になってるせいかなと思ったり(2014/08/25 追記:これ、全然関係ない話だったのでコッソリ消しておく)。ので、「dig 3s3s.org」とか「nslookup 3s3s.org」あたりで調べたIPアドレス(*5)で拒否する設定も書いている。

「httpd.conf」あたりを書き換えたら「/path/to/dir/httpd -t」(*6)あたりでコンフィグのチェックを行った後に再起動を忘れずに。普通にアクセスしたときは見られるけど「3s3s.org」のURLだと見られなくなっていることを確認すること。

……ざっくりこんな感じでしょうかね。間違ってたらきっとあちこちからリアクションくるでしょう。あるいは各自勝手に修正するでしょう。


*1:匿名といっても過信しちゃいけない方の「匿名」な気がするけど
*2:意訳
*3:デフォルトで使えるようになっているはずだけど
*4:「AllowOverride」に「AuthConfig」が存在する必要があるの意
*5:当然のことながらIPアドレスが変わったらこれは使い物にならなくなる
*6:要はコンフィグに文法ミス等がないかをチェックするって意図なので、他の方法でもOK

0 件のコメント:

コメントを投稿