印刷用表示へ切り替え 通常表示へ切り替え 更新履歴を表示 更新履歴を隠す
Wed April 14, 2004
LinuxMovableType mt.cfg とデータベースを守る

MovableType のコンフィグレーションファイル mt.cfg は CGI のあるディレクトリにあり、そのままだとブラウザで読めてしまう。MT Wiki . MT . MtCfg には、mt.cfg を .htaccess で保護する例が紹介されている。

■ ■ ■

mt.cfg の置いてあるディレクトリ(CGIPath ディレクトリ)に、次の内容の .htaccess を設置する。

<Files mt.cfg>
<Limit GET>
deny from all
</Limit>
</Files>
これで、「すべての端末からの GET 要求による mt.cfg へのアクセスを禁止」している。

同様のことが、データベースのファイルにも言える。mt.cfg には、DataSource ディレクティブで指定するデータベースは、Web ブラウザでアクセスできないディレクトリを指定するべきある。しかし、デフォルトは ./db、すなわち CGIPath/db であり、通常はブラウザでアクセス可能なディレクトリになる。そこで、./db ディレクトリにも上と同様の .htaccess を設置して保護する。

<Files *>
<Limit GET>
deny from all
</Limit>
</Files>
違うのは、mt.cfg の部分が * になっていることだけである。ちなみに、Limit ディレクティブを書かなければ、GET の他 POST などすべてのメソッドに対する制限となる。

ただし、.htaccess でファイル保護するには、「ユーザの設定がサーバの設定を上書きできる」という設定がサーバでされている必要がある。Apache の httpd.conf であれば、

AllowOverride Limit
という設定になる。Limit は、「ファイルへのアクセス制限」の意味で、これによって allow, deny, orderをユーザが設定できるようになる。この「値としての Limit」は、上で出てきた Limit とは意味が違うので注意。上の「ディレクティブとしての Limit」はアクセスメソッドを限定するという意味である。ややこしい。

現時点での VineLinux 2.6 の Apache のバージョンは 1.3.27。

ディレクティブに関しては、本家の Apache HTTP サーバ バージョン 1.3 ドキュメントが詳しい。

2004年8月4日追記:
mt.cfg の保護に関しては、本家のマニュアルに記載がある(Installing Movable Type - Protecting mt.cfg)。

2004年9月8日追記:
MovableType の日本語マニュアルにも翻訳された(Movable Typeのインストール - mt.cfg の保護)。

2005年1月22日追記:
Apache 2.x では,この制限を行っても POST メソッドや不明なメソッドで簡単に破ることができるそうです。Limit を外すことをお勧めします(nlog(n): mt.cfg 「以外」が丸見え)。

Posted by n at 2004-04-14 23:55 | Edit | Comments (1) | Trackback(22)
Trackbacks

  • 「手違いで複数トラックバックを送ってしまった!」という場合でも気にしないでください (重複分はこちらで勝手に削除させていただきます)
  • タイムアウトエラーは,こちらのサーバの処理能力不足が原因です (詳細は トラックバック送信時のエラー をご覧ください)
  • トラックバックする記事には,この記事へのリンクを含めてください(詳細は 迷惑トラックバック対策 をご覧ください)
mt.cfgが丸見え…^^;
nlog(n): mt.cfg とデータベースを守る こちらの情報を見るまで、mt.cfgが丸見えになっていることに気づきませんでした。危ない危ない。そっこうで設定し直しました。^^; データベースのパスワードは、mt-db-pass.cgiというファイルなので、通常の設定がされていれば見え... Trackbacked from: はーめるんの日々の記録 MT版 at April 20, 2004 22:47
mt.cfg の保護
nlog(n)さんで発見したエントリに衝撃。 「mt.cfg とデータベースを守る Trackbacked from: チェリオメアリー at April 26, 2004 01:42
mt.cfgが丸見え
mt.cfgにはさまざまなMTの情報が詰まっています。 破壊、改変などされたらひとたまりもありません。 ということで、チェリオメアリーさんの記事を経由しつつ、nblog(n)さんの記事を参考にして、転ばぬ先の杖ということで、.htaccessを設置。... Trackbacked from: // SCENE // at April 28, 2004 19:44
mt.cfgを隠す
チェリオメアリーさんの mt.cfg の保護 経由 nlog(n)さんの mt.cfg とデータベースを守る を読んで、うちのも無防備に晒していたことに今更ながら気づく。 で、早速.htaccessを作成した。 httpd.conf は AllowOverride none と無効になっていたので AllowOverride Limit ... Trackbacked from: どくだみ at April 30, 2004 23:06
BLOGTIMES複数表示、mt.cfg見れないように
solvalou.netさんのBLOGTIMES(S)はじめましたを参照に複数表... Trackbacked from: Magic White at August 22, 2004 20:16
頭隠して、mt.cfg隠さず…
Magic Whiteさんの「BLOGTIMES複数表示、mt.cfg見れないように」経由で、nlog(n)さんのmt.cfg とデータベースを守るを参照。 mt.cfgが丸見えだったとはと愕然となる。早速見られないようにした。 Magic Whiteさんは、確か私じゃなくてisaokがクリッピングに入れたところだ... Trackbacked from: Zatsubun Blog at August 23, 2004 00:44
mt.cfgと./dbディレクトリの保護。
いやー、知らんかった。 mt.cfgファイル、./dbディレクトリ、丸見えだったんですねぇ。 ブラウザでアクセスしてみたら丸わかり。(汗 ... Trackbacked from: 我楽 at September 06, 2004 19:05
mt.cfg とデータベースを守る
何気なーくググってたら、nlog(n)さんでmt.cfg とデータベースを守るの記事を発見。 やべー、ウチのブログ丸見えやん(滝汗)... Trackbacked from: hwp blog at September 11, 2004 16:07
mt.cfg丸見え!
このblog(MovableType)を設置してもう半年になるんですが 知らなかったンです。 まさかデフォルト状態だとmt.cfgが丸見えになってるなんて! 情報源はコチラ。 こちらには.htaccessにてmt.cfgを保護する方法が書かれている。 mt.cfgと同じディレクトリに <Files mt.cf... Trackbacked from: 一体どうなんでしょう at September 27, 2004 23:05
mt.cfg が丸見え。。。
あなたのMovable Typeは大丈夫?ブラウザからmt.cfgやdbディレク... Trackbacked from: tiancoolog at October 02, 2004 10:54
mt.cfgの保護
Movable Typeのセキュリティ面で、デフォでmt.cfgが閲覧できちゃう... Trackbacked from: yuipoの雑記帳 at October 30, 2004 08:32
mt.cfgとデータベースを隠す
やってあったのにメモしてませんでした。 デフォルトではブラウザからアクセスできて... Trackbacked from: *vitalage*blog at November 18, 2004 09:29
.htaccessでmt.cfgを守る
今日MTのログを見てたらちょっと気になる事が… Trackbacked from: caramel*vanilla at December 25, 2004 23:50
mt.cfg丸見え!
nlog(n): mt.cfg とデータベースを守る from 一体どうなんでしょう: mt.cfg丸見え! cssを調べていたら辿りついたページで知った衝撃の事実! 確認したら確かに見えていたので、えーと、対処しました。やれやれだぜ。... Trackbacked from: gekka blog at January 20, 2005 20:31
mt.cfg丸見え!
このblog(MovableType)を設置してもう半年になるんですが 知らなかったンです。 まさかデフォルト状態だとmt.cfgが丸見えになってるなんて! 情報源はコチラ。 こちらには.htaccessにてmt.cfgを保護する方法が書かれている。 mt.cfgと同じディレクトリに <Files mt.cf... Trackbacked from: 一体どうなんでしょう at January 21, 2005 22:45
mt.cfgについて
mt.cfgというファイルはMovable Typeの設定ファイルでmt.cgiと同じ階層にあります。 MTインストール時に最低限の設定をするのですが初期設定以外にも修正しておいた方がよさそうだと個人的に思った項目をあげてみます。 Trackbacked from: caramel*vanilla (β) at February 16, 2005 22:15
「mt.cfg」を保護
ブログのカスタマイズページをいろいろ徘徊していて、 MovableTypeの設定... Trackbacked from: Project MultiBurst at March 19, 2005 15:14
MovableTypeに脆弱性
Movable Type Publishing Platform: 【重要】 第... Trackbacked from: PixelStation at May 13, 2005 02:09
mt.cfgを保護する
MovableTypeは設置後、何もしないと ブラウザでいとも簡単にmt.cfg... Trackbacked from: ONE×ONE at July 25, 2005 23:38
mt.cfgを保護する
MovableTypeは設置後、何もしないと ブラウザでいとも簡単にmt.cfg... Trackbacked from: ONE×ONE at January 01, 2006 20:07
ファイルやフォルダにアクセス制限をかける
MovableTypeにはmt-config.cgiやdbディレクトリといったシステム設定に関するファイルが存在しますが、これらが何らかの形で第三者に... Trackbacked from: ツール・ド・もんち - Tour De MonChi - at June 02, 2006 11:02
mt.cfg丸見え!
このblog(MovableT... Trackbacked from: 一体どうなんでしょう at April 10, 2010 17:03
Comments

ごめんなさい。トラックバックを何度も4回も送ってしまいました。まだまだMovable Typeに不慣れなもので。すいませんでした。mt.cfgとデータベースを守るTips、とても助かりました。ありがとうございました。

Posted by: ming at October 02, 2004 16:18
Post a comment
  • 電子メールアドレスは必須ですが,表示されません (気になる場合は「メールアドレスのような」文字列でもOKです)
  • URL を入力した場合はリンクが張られます
  • コメント欄内ではタグは使えません
  • コメント欄内に URL を記入した場合は自動的にリンクに変換されます
  • コメント欄内の改行はそのまま改行となります
  • 「Confirmation Code」に表示されている数字を入力してください (迷惑コメント対策です)


(必須, 表示されます)


(必須, 表示されません)


(任意, リンクされます)


Confirmation Code (必須)


Remember info (R)?