« デイレクトリ( cache, templates_c ) のセキュリティ対策 | メイン | Movable Type 3.121 と 3.12 »
2004年11月03日
htaccess ファイルによるアクセス制限
アクセスコントロールファイル .htaccess によるアクセス制限
ASCIIモードによるアップロード後、ファイル属性を 604に変更します。
最終ファイル名は .htaccess ですが、作成・編集・アップロード・属性変更前には、_.htaccess などを使用します(rename)。
【ファイル設置前の確認】
HTTPによるユーザー認証を利用しますので、apache のモジュール mod_auth がload されていることを確認します。
phpinfo(); を利用すれば、サーバ管理者に問合わせる必要はありません。
⇒ http://hitomi.s47.xrea.com/shellscript.biz/archives/2004/01/xreacomassaeeia.html
因みに、Xrea.com さんのサーバは使用できます。
【mt.cfg】
movable typeのベーシックディレクトリ [mt] 内に下記のドットファイルをアップロードすると、すべてのcfgファイルはブラウザでアクセスできなくなります。MT 3.11 ダイナミック・ページを利用しているときは必須です。
<Files *.cfg>
<Limit GET POST>
deny from all
</Limit>
</Files>
【cache, templates_c】
ダイナミック・ページを利用しているときの一時保存ファイル用ディレクトリ [blog] /cache, [blog] /templates_c 内には下記のドットファイルをアップロードします。万一、悪意のある実行ファイルがアップロードされても、ブラウザで直接アクセス・起動できません。
また、両ディレクトリのリネームも推奨します。⇒ http://hitomi.s47.xrea.com/shellscript.biz/archives/2004/10/_cache_template.html
<Files *.*>
<Limit GET POST>
deny from all
</Limit>
</Files>
【Berkeley の DB】
もし、Berkeley の DBを使用し、ブラウザでアクセス可能なディレクトリ以外に設置できないレンタルサーバであれば、ディレクトリ [db_Berkeley] 内に下記のドットファイルをアップロードします。ブラウザでアクセスできないディレクトリ (たとえば、cgi-bin 内やpublic_htmlより上位)を推奨します。
<Files *.*>
<Limit GET POST>
deny from all
</Limit>
</Files>
投稿者 mvtp : 2004年11月03日 23:18
トラックバック
このエントリーのトラックバックURL:
31
コメント
コメントしてください
サイン・インを確認しました、 . さん。コメントしてください。 (サイン・アウト)
(いままで、ここでコメントしたとがないときは、コメントを表示する前にこのウェブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)