 |
ログ解析スクリプトAWStats 7.5ドキュメント
|
|
セキュリティについての小ネタ
多くのAWStatsのユーザは複数のwebサイトを管理しているでしょう。これはwebホスティングプロバイダーに特に当てはまります。(www.xxx.comを持つ)xxxユーザに(www.yyy.comを持つ)yyyユーザの統計を見せないようにするのが一般的です。
これについていくつかの例を示します。
- ボリシイ
- 異なったユーザがいくつかの異なった構成/ドメインを所有しています。そして、それぞれのために統計を提供します。顧客は、「リアルタイム」の統計は必要としていません。
これは重要な顧客に、わずかな、しかし、非常に大きいウェブサイトを提供しているウェブホスティングプロバイダーには非常に良い選択です。
- 長所
- 高度なセキュリティが確保できます。
- 欠点
- 静的な統計のみで、動的な更新/表示はできない。
- 実現法
- 構成/ドメインファイルのすべての統計ページを-output -staticlinksオプションを指定して静的HTMLファイルで構築します。
AwstatsのCGIの使用は禁止し、静的ページは、正しく許可されたユーザーのみが参照可能な、保護されたWeb領域に格納します(またはメールで送信します)。
ユーザーが統計サーバーにコマンド・ライン(telnet)アクセスする場合、awstats データベース ファイルに適切なアクセス許可を設定する必要があります。(更新プロセスが構築した)構成/ドメインファイル1は、user1(および管理者のユーザー)に対して読み取り/書き込みを許可し、その他のユーザーに対しては読み取りも書き込みもアクセス許可しません。
構成/ドメインファイルのSaveDatabaseFilesWithPermissionsForEveryoneパラメータを0に設定してあることを確認します。
構成/ドメイン1のawstats データベース ファイルが読み取り保護されていると、許可されたユーザーのみが構成/ドメイン1の統計情報を表示できます。
構成/ドメイン1のawstats データベース ファイルが書き込み保護されていると、許可されたユーザーのみが構成/ドメイン1の統計情報を更新できます。
- ボリシイ
- いくつかの構成/ドメインと複数のユーザーがあります。どのユーザーがどの構成/ドメインの統計を動的に参照したり更新することができまるかを指定します。
これは最も一般的な作業方法の 1 つです。
- 長所
- 動的な統計参照が可能。高度な管理機能。
- 欠点
- この場合は、Awstatsデータベースファイルは、匿名Webユーザーに対して読み取り可能しなければならないので、経験豊富なユーザーがawstatsデータベースファイルを格納されているサーバーにアクセス(telnet)できれば、AllowAccessFromWebToAuthenticatedUsersOnlyパラメータの値を無視する「ハックした」バージョンのAwstatsを実行することができます。
- 実現法
- AWStats CGI プログラムにアクセスするときにユーザー名/パスワードを入力させるために、保護された Web領域にawstats.plファイルを保存する必要があります。
awstats.plをWeb保護された領域におくためにApacheに指定できるディレクティブの例。
<Files "awstats.pl">
AuthUserFile /path/to/.passwd
AuthGroupFile /path/to/.group
AuthName "Restricted Area For Customers"
AuthType Basic
require valid-user
</Files>
このようなディレクティブを.htaccessファイルに追加する場合AllowOverrideディレクティブにAllしていして、.htaccessファイルの使用を許可することがApache構成ファイルに設定されていることをチェックする必要があります。
Apache 以外のサーバーで、保護された領域を作成する方法についてはWebサーバーのマニュアルを参照してください。
保護する構成/ドメインファイルを編集して、AllowAccessFromWebToAuthenticatedUsersOnlyを1に設定します。
AllowAccessFromWebToFollowingAuthenticatedUsersパラメータで承認されたユーザーの一覧も編集できます。
AllowAccessFromWebToFollowingIPAddressesパラメータで許可されているブラウザの IP アドレスの範囲を指定できます。
AllowToUpdateStatsFromBrowser=を指定して、Web から更新を許可する場合を除き、すべての構成/ドメインファイルのSaveDatabaseFilesWithPermissionsForEveryoneパラメータを0に指定することができます。すべての履歴ファイルに対して Web サーバーのユーザーの読み取り/書き込み権限を与える必要があるのでこれは推奨されません(認証されているユーザーに対しAWStatsスクリプトにsetuidを設定すれば別ですが、セットアップがははるかに困難になります)。
パラメータErrorMessagesおよびDebugMessagesも、セキュリティに関連するパラメータです。
他のチップ:AWSTATS_FORCE_CONFIG環境変数が定義されると、AWStatsは構成/ドメインファイルとしていつもコンフィグファイルawstats.VALUE_OF_AWSTATS_FORCE_CONFIG.confを使用するでしょう。それで、ウェブサーバー環境にこの環境変数を、例えば、次の行を加えると、
SetEnv AWSTATS_FORCE_CONFIG configvalueforthisdomain
Apacheのhttpd.conf(他のディレクティブと一緒に)の<VirtualHost>のディレクティブグループの中で、AWStatsは、'http://mydomain/cgi-bin/awstats.pl?config=otherdomain'というURLで構成/ドメインファイルを強制しようと訪問者が試みても、awstats.configvalueforthisdomain.confと呼ばれるコンフィグファイルを使用するでしょう。それぞれのAWStats構成ファイルの中に認定ユーザのリストを維持することの代わりに、ひとつの構成ファイルのAllowAccessFromWebToFollowingAuthenticatedUsers="__REMOTE_USER__"でで管理できるので便利であるかもしれません。
- ボリシイ
- 1つだけまたはいくつかのホストまたはユーザがありますが、異なった構成/ドメイン統計のために特定の認証を管理する必要はありません。
- 長所
- セットアップは非常に簡単です(特定のセットアップの必要性がありません)。統計は動的です。
- 欠点
- 構成/ドメイン統計の名前とurlのシンタックスを知る人が統計を覗くことを防ぐことができない。
- 実現法
- 特に実行することはない(しかしながら、AllowAccessFromWebToFollowingIPAddressesパラメタで最小のセキュリティを簡単に確保できます。)
ウェブサーバーオプション/パラメタとオペレーティングシステムセキュリティ機能と組み合わせAWStatsのオプション/パラメタを使用する多様な可能性があります。必要とするものを使用してください…