XOOPS Protectorのインストール〜MacOSX自宅サーバ構築その16

XOOPS Protectorって何?

2日前インストールしたALTSYS同様、サイト上に現れることはないモジュールではあるが、XOOPSでサイトを運営していく上で、必須のものといってもいいであろう。

このモジュールの概要については、文系のためのXOOPS入門さんのサイトから引用させていただいた。

XOOPSで構成されたサイトを、悪意のあるなしにかかわらず、危険なアクセスから守るモ ジュールです。ファイルを猛然と落としてサーバの負荷を上げたり、スパムを送りつけるためのメールアドレスを探すクローラーなどを弾いたり、パスワードを総当たりで見つけ出そうとする試みをシャットアウトしてくれたりします。

また、SQL Injection(ものすごく平たく書くと、XOOPSには検索ウインドウやフォーラムなどユーザが言葉を入れられる場所がたくさんありますが、そこに『データ全部消えろ』などと書かれると、データベースのデータが本当に消えてしまったりするといった問題)からも守ってくれます。設定項目が多く、難解な部分もありますが、XOOPSサイトを運用するなら確実に入れておきたいモジュールです。

XOOPS Protectorのダウンロード

ダウンロード先は、PEAK XOOPS サポート&実験室ダウンロードページから。

XOOPS Protectorのインストール

D3モジュール標準のインストールを行う。

XOOPS Protectorインストール後の設定

管理メニューから以下の設定を行った。

Protector Center画面

インストールした直後、Xoops Protectorの管理画面(Protector Center)に赤字で、

configsディレクトリが書込許可されていません:
/Library/WebServer/dup3/modules/protector/configs

と表示されたので、ターミナルからchmod777でパーミッションを変更した。

セキュリティガイド画面

以下の5項目について表示されるので、すべてOKになるよう設定した。

register_globals‘ : off ok
これはPHPのインストール編集の際、デフォルトでoffに設定されるので問題がなかった。

allow_url_fopen‘ : on 非推奨
下記のメッセージが出てきた。

この設定だと、外部の任意のスクリプトを実行される危険性があります
この設定変更にはサーバの管理者権限が必要です
ご自身で管理しているサーバであれば、php.iniやhttpd.confを編集して下さい
そうでない場合は、サーバ管理者にお願いしてみて下さい

/usr/local/php5/lib/php.iniの当該部分が

allow_url_fopen = On

となっていたので、下のように変更

allow_url_fopen = Off

apacheを再起動して、非推奨okとなる。

session.use_trans_sid‘ : off ok
特に何もしなかったがokとなった。

XOOPS_DB_PREFIX‘ : xcl ok
同上。

PREFIXマネージャへ

mainfile.php‘ : missing precheck 非推奨

下記メッセージが表示される

READMEに記述された通りに、mainfile.php にパッチを当てて下さい

Xoops protectorのreadmeは、英語表記なのでよくわからないが、ダウンロードページに日本語で説明があるので、それを参考にし、mainfile.phpの下記の部分を探して、パッチを当てる。

XOOPS Protector1

変更前

XOOPS Protector2

変更後




(変更前の)上から2行目に

include XOOPS_TRUST_PATH.’/modules/protector/include/precheck.inc.php’ ;

下から2行目に

include XOOPS_TRUST_PATH.’/modules/protector/include/postcheck.inc.php’ ;

を追加している。これで非推奨okになる。

一般設定画面
これについてはよくわからないので、とりあえずデフォルトの設定で運用することにする。

最後にダウンロードページにある、注意事項を抜粋しておく。

バージョン3から、システムモジュール由来のIPアクセス拒否は利用しなくなりました。 XOOPS_TRUST_PATH/modules/protector/configs を書込許可してください。Protector が拒否IPを自動登録する場合、ここに記述するようになります。

もし、なんらかの理由で、自分自身がIP拒否リストに載ってしまった場合、バージョン2ま ではレスキューパスワードを利用していましたが、バージョン3からは、FTP等で XOOPS_TRUST_PATH/modules/protector/configs 内のファイルを編集または削除してく ださい。


(この記事は旧自宅サーバから転載したものです)

シェアする

  • このエントリーをはてなブックマークに追加

フォローする