1 <?xml version="1.0" encoding="UTF-8" ?>
2 <!DOCTYPE manualpage SYSTEM "./style/manualpage.dtd">
3 <?xml-stylesheet type="text/xsl" href="./style/manual.ja.xsl"?>
4 <!-- English Revision: 507346:1174747 (outdated) -->
7 Licensed to the Apache Software Foundation (ASF) under one or more
8 contributor license agreements. See the NOTICE file distributed with
9 this work for additional information regarding copyright ownership.
10 The ASF licenses this file to You under the Apache License, Version 2.0
11 (the "License"); you may not use this file except in compliance with
12 the License. You may obtain a copy of the License at
14 http://www.apache.org/licenses/LICENSE-2.0
16 Unless required by applicable law or agreed to in writing, software
17 distributed under the License is distributed on an "AS IS" BASIS,
18 WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
19 See the License for the specific language governing permissions and
20 limitations under the License.
23 <manualpage metafile="dns-caveats.xml.meta">
25 <title>DNS と Apache にまつわる注意事項</title>
28 <p>本文書の内容は次の一言に尽きます。「Apache が設定ファイルを読み込むときに
29 DNS を使用する必要がないようにして下さい」。Apache が設定ファイルを
30 読み込むときに DNS を使用する必要がある場合、信頼性の問題
31 (起動しないかもしれません) やサービス拒否や盗用アタック
32 (他のユーザからヒットを盗むことを含みます)
36 <section id="example">
40 <VirtualHost www.abc.dom> <br />
41 ServerAdmin webgirl@abc.dom <br />
42 DocumentRoot /www/abc <br />
46 <p>Apache が正常に機能するには、バーチャルホスト毎に必ず二つの
48 <directive module="core">ServerName</directive>
49 と、そのサーバが応答するための IP (最低一つ) です。
50 上記例では IP アドレスを含んでいませんので、Apache は DNS
51 を使用して <code>www.abc.dom</code> を見つけなければなりません。
52 何らかの理由で設定ファイルを読み込んでいるときに DNS
54 バーチャルホストは<strong>設定されません</strong>。
55 そして、そのバーチャルホストに対するヒットには応答がなされません
56 (Apache 1.2 以前では起動すらしません)。</p>
58 <p><code>www.abc.dom</code> のアドレスが 192.0.2.1
59 だとします。では、次の設定について考えてみましょう。</p>
62 <VirtualHost 192.0.2.1> <br />
63 ServerAdmin webgirl@abc.dom <br />
64 DocumentRoot /www/abc <br />
68 <p>現在のリリースでは Apache は DNS 逆引きを使用して
69 このバーチャルホストの <directive module="core">ServerName</directive>
71 その逆引きが失敗した場合は部分的にバーチャルホストを無効にします
72 (Apache 1.2 より前では起動すらしません)。
73 バーチャルホストが名前ベースであれば完全に無効になりますが、
74 IP ベースであれば概ね動作します。しかしながら、サーバ名を
75 含む完全な URL を生成しなければならない場合は、正しい URL
78 <p>次の例は上記の問題を解決しています。</p>
81 <VirtualHost 192.0.2.1> <br />
82 ServerName www.abc.dom <br />
83 ServerAdmin webgirl@abc.dom <br />
84 DocumentRoot /www/abc <br />
92 <p>サービス拒否が起こる場合、(少なくとも) 二つのケースがあります。
93 Apache 1.2 より前を実行している場合、バーチャルホストのための
94 上記の二つの DNS 検索のうち一つ失敗すれば起動すらしません。
95 そしてこの DNS 検索が自分の制御下にすらない場合もありえます。
96 例えば、<code>abc.dom</code> が顧客のサーバの一つで、
98 <code>www.abc.dom</code> レコードを削除するだけで、
99 (1.2 より前の) サーバを起動不能にすることができます。</p>
101 <p>もう一つのケースは、より気付きにくいものです。
102 次の設定について考えてみましょう。</p>
105 <VirtualHost www.abc.dom> <br />
107 ServerAdmin webgirl@abc.dom <br />
108 DocumentRoot /www/abc <br />
110 </VirtualHost> <br />
112 <VirtualHost www.def.dom> <br />
114 ServerAdmin webguy@def.dom <br />
115 DocumentRoot /www/def <br />
120 <p>192.0.2.1 を <code>www.abc.dom</code> に、
121 192.0.2.2 を <code>www.def.dom</code> に割り当てているとします。
122 また、<code>def.dom</code> は顧客自身の DNS
123 の制御下にあるとします。この設定で、<code>abc.dom</code>
124 に向けられたトラフィック全てを奪うことができる位置に
125 <code>def.dom</code> を設置できています。後は単に
126 <code>www.def.dom</code> が 192.0.2.1 を参照するように
127 設定するだけです。DNS は顧客側の DNS でコントロールされているので、
128 <code>www.def.dom</code> レコードが好きな場所を指すように
129 設定できてしまうのを止めさせることができません。</p>
131 <p>192.0.2.1 に対するリクエスト
132 (<code>http://www.abc.dom/whatever</code> 形式の URL
133 を入力したユーザからのもの全てを含みます)
134 は、<code>def.dom</code> バーチャルホストで応答されます。
135 このようなことが何故起こるかもっと良く知るためには、
136 応答の必要なバーチャルホストへのリクエストに対して、
137 Apache がどのように整合性を確保するかについて、
138 深い議論が必要になります。おおざっぱな説明は<a
139 href="vhosts/details.html">こちら</a>に記述されています。</p>
143 <title>「主サーバ」アドレス</title>
145 <p>Apache 1.1 での <a href="vhost/name-based.html"
146 >名前ベースのバーチャルホストのサポート</a> 追加の際に、
147 Apache は <program>httpd</program> の実行されているホストの IP
148 アドレスを知る必要が出てきました。このアドレスを得るために、
150 <directive module="core">ServerName</directive> を使用するか、
151 C 言語の関数 <code>gethostname</code> (コマンドプロンプトで
152 <code>hostname</code> とタイプしたときと同じものを返します)
154 その後、得られたアドレスで DNS 検索を行ないます。
155 現在のところ、この DNS 検索を回避する方法はありません。</p>
157 <p>DNS サーバがダウンして、この検索ができない事態が起こることを
158 恐れているのであれば、<code>/etc/hosts</code>
160 (マシンが正常に起動するように既に設定されているかもしれません)。
161 その場合、DNS 参照が失敗した場合にマシンが <code>/etc/hosts</code>
162 を使用するように設定していることを確認してください。
163 その方法は、どの OS を使用しているかに依存しますが、
164 <code>/etc/resolv.conf</code> か <code>/etc/nsswitch.conf</code>
167 <p>もし他の理由で DNS を利用する必要がない場合は、
168 <code>HOSTRESORDER</code> 環境変数を「 <code>local</code>
169 」に設定することでそのようにできます。以上これらの事柄は、どんな
170 OS 、レゾルバライブラリを使用しているかに依存します。また、
171 <module>mod_env</module> を使用して環境変数を制御しない限り、
172 CGI にも影響を与えます。man ページや使用している OS
173 の FAQ で調べると良いでしょう。</p>
177 <title>以上の問題を解決する方法</title>
181 <directive module="core">VirtualHost</directive>
186 <directive module="mpm_common">Listen</directive>
192 <directive module="core">ServerName</directive>
197 <code><VirtualHost _default_:*></code>
202 <section id="appendix">
203 <title>付録: 将来的な方向性</title>
205 <p>DNS に関して、現状は全く宜しくありません。Apache 1.2 で、
206 DNS のイベントが失敗しても少なくとも起動プロセスが続くようにしましたが、
207 これが最高の解決方法ではないでしょう。アドレスの再割り当てが必要不可避
208 となっている今日のインターネットにおいては、
209 設定ファイルの中で明示的な IP アドレスを要求する仕様は、
212 <p>盗用のサービスアタックに関して行なうべき事は、
213 DNS 順引きを行なって得られたアドレスに対する DNS
214 逆引きを行なって、二つの名前を比較することです。
215 この二つが一致しなければバーチャルホストは無効になるようにします。
216 こうするためには逆引き DNS が適切に設定されている必要があります
217 (FTP サーバや TCP ラッパーのおかげで「二重逆引き」DNS は一般的に
218 なっていますので、管理者にはお馴染みものでしょう)。</p>
220 <p>IP アドレスが使用されていなくて DNS が失敗した場合は、
221 どうしてもバーチャルホストウェブサーバを信頼性を確保して
223 設定の一部を無効にするというような部分的な解決では、
224 サーバが何をするようにするかにもよりますが、
225 そのサーバが起動しないより確実に悪い状況になるでしょう。</p>
227 <p>HTTP/1.1 が開発され、ブラウザやプロキシが <code>Host</code>
228 ヘッダを発行するようになったので、IP ベースのバーチャルホストを
229 全く使用しなくても済むようになるかもしれません。
230 この場合、ウェブサーバは設定中に DNS 参照をしなくても済みます。
231 しかし 1997 年 3 月時点の状況では、
232 商用レベルのウェブサーバで使用できるほどには、
233 これらの機能は広く開発が進んでいません。</p>