XOOPS Protectorって何?
2日前インストールしたALTSYS同様、サイト上に現れることはないモジュールではあるが、XOOPSでサイトを運営していく上で、必須のものといってもいいであろう。
このモジュールの概要については、文系のためのXOOPS入門さんのサイトから引用させていただいた。
XOOPSで構成されたサイトを、悪意のあるなしにかかわらず、危険なアクセスから守るモ ジュールです。ファイルを猛然と落としてサーバの負荷を上げたり、スパムを送りつけるためのメールアドレスを探すクローラーなどを弾いたり、パスワードを総当たりで見つけ出そうとする試みをシャットアウトしてくれたりします。
また、SQL Injection(ものすごく平たく書くと、XOOPSには検索ウインドウやフォーラムなどユーザが言葉を入れられる場所がたくさんありますが、そこに『データ全部消えろ』などと書かれると、データベースのデータが本当に消えてしまったりするといった問題)からも守ってくれます。設定項目が多く、難解な部分もありますが、XOOPSサイトを運用するなら確実に入れておきたいモジュールです。
XOOPS Protectorのダウンロード
ダウンロード先は、PEAK XOOPS サポート&実験室のダウンロードページから。
XOOPS Protectorのインストール
D3モジュール標準のインストールを行う。
XOOPS Protectorインストール後の設定
管理メニューから以下の設定を行った。
Protector Center画面
インストールした直後、Xoops Protectorの管理画面(Protector Center)に赤字で、
/Library/WebServer/dup3/modules/protector/configs
と表示されたので、ターミナルからchmod777でパーミッションを変更した。
セキュリティガイド画面
以下の5項目について表示されるので、すべてOKになるよう設定した。
‘register_globals‘ : off ok
これはPHPのインストール編集の際、デフォルトでoffに設定されるので問題がなかった。
‘allow_url_fopen‘ : on 非推奨
下記のメッセージが出てきた。
この設定変更にはサーバの管理者権限が必要です
ご自身で管理しているサーバであれば、php.iniやhttpd.confを編集して下さい
そうでない場合は、サーバ管理者にお願いしてみて下さい
/usr/local/php5/lib/php.iniの当該部分が
となっていたので、下のように変更
apacheを再起動して、非推奨がokとなる。
‘session.use_trans_sid‘ : off ok
特に何もしなかったがokとなった。
‘XOOPS_DB_PREFIX‘ : xcl ok
同上。
PREFIXマネージャへ
‘mainfile.php‘ : missing precheck 非推奨
下記メッセージが表示される
Xoops protectorのreadmeは、英語表記なのでよくわからないが、ダウンロードページに日本語で説明があるので、それを参考にし、mainfile.phpの下記の部分を探して、パッチを当てる。
↓
(変更前の)上から2行目に
下から2行目に
を追加している。これで非推奨がokになる。
一般設定画面
これについてはよくわからないので、とりあえずデフォルトの設定で運用することにする。
最後にダウンロードページにある、注意事項を抜粋しておく。
もし、なんらかの理由で、自分自身がIP拒否リストに載ってしまった場合、バージョン2ま ではレスキューパスワードを利用していましたが、バージョン3からは、FTP等で XOOPS_TRUST_PATH/modules/protector/configs 内のファイルを編集または削除してく ださい。
(この記事は旧自宅サーバから転載したものです)