リモート開発メインのソフトウェア開発企業のエンジニアブログです

もばらぶ

もばらぶエンジニアブログ

Home採用情報English

オプション、設定方法の一貫性の無さ

July 14, 2021 - posted by 中の人(管理者)

目次

よくある不満
特定の IP・ユーザーからのアクセスのみ許可したい
iptables
Apache 2.4
Apache 2.2
OpenSSH (sshd) の場合
nginx
雑感
典型的なハマりパターンの場合は警告を出して欲しい
伽藍とバザール?
まとめ

(今回の話はそんなに有益な情報があるわけでも無いので、時間のある方のみ読んで頂ければと思います。)

ソフトウェアによって、同じような事をするのでも設定方法・考え方が異なる場合があって困るというお話です。

よくある不満

こんなこと、よくやりませんか。

$ java --version
Unrecognized option: --version
Error: Could not create the Java Virtual Machine.
Error: A fatal exception has occurred. Program will exit.

正しくは、java -version ですね。

あるいは、こんなことも良くあります。

$ cp -r /path/to/dir1 .
$ chgrp -r staff dir1
chgrp: invalid option -- 'r'
Try 'chgrp --help' for more information.

chgrp コマンドの場合、再帰的に適用する場合は -r ではなく -R です。

オプションを統一してくれ!と思った事は無いでしょうか。

特定の IP・ユーザーからのアクセスのみ許可したい

オプションの違いであれば、怒られたら直せば良いだけなので、そこまで大きな問題ではありません。一方、サーバーの設定などの場合、間違えていてエラーが出ればまだ良いのですが、間違えた設定でもエラーは出ずに意図しない挙動となってしまうケースがあるのが厄介です。

iptables

iptables の場合、特定の IP からのアクセスを許可するには、以下の通りに設定します。

  • incoming の policy を DROP にする
  • 特定の IP のみを許可する → iptables -A INPUT -p tcp -s nnn.nnn.nnn.nnn -j ACCEPT

Apache 2.4

Apache 2.4 の場合、以下の通り許可したい IP のみを記載すれば良いです。

Require ip nnn.nnn.nnn.nnn

iptables のような「原則拒否」という記述は不要です。そもそも、「〜を拒否する」というような設定ができません。

細かい解説は省略しますので、興味のある方は以下のドキュメントを参照して下さい。

mod_authz_core – Apache HTTP Server Version 2.4

Apache 2.2

同じ Apache でも、2.2 の場合は以下のように記載します。iptables と同様、「原則拒否、ただし特定のIPだけ許可」といったような書き方です。

Order Deny,Allow
Deny from all
Allow from nnn.nnn.nnn.nnn

OpenSSH (sshd) の場合

OpenSSH には AllowUsersDenyUsers というディレクティブがあります。(それ以外にも AllowGroups などもありますがここでは触れません。)

正解は以下の通りです。

AllowUsers yamada@nnn.nnn.nnn.nnn

これを iptables などと同様の感覚で

# 意図しない動作となってしまう設定例
DenyUsers *
AllowUsers yamada@nnn.nnn.nnn.nnn

とかやってしまうと、誰も ssh できなくなってしまいます。私はこれにハマりました。

個人的には、以下のページの一番最後のコメントを読んだ上で、

HowTo sshd deny all users except for one?

sshd_config の man で AllowUsers の項をじっくり読んで理解出来ましたが、結構ハマる人も多そうです。

sshd_config(5): OpenSSH SSH daemon config file – Linux man page

以下のようなケースの場合、iptables のような設定方法が出来ると、直感的に設定できて良さそうなのですが。

sshd – sshd_config AllowUsers – Stack Overflow

nginx

nginx の場合は、以下の通りに設定します。

allow nnn.nnn.nnn.nnn;
deny  all;

先頭から順に評価されて、マッチした時点で終わりという仕組みです。なので、以下のようにしてしまうと動作しません。

# 意図しない動作となってしまう設定例
deny all;
allow nnn.nnn.nnn.nnn;

詳しくはドキュメントを参照して下さい。

Module ngx_stream_access_module

雑感

典型的なハマりパターンの場合は警告を出して欲しい

OpenSSH や nginx での「間違った設定例」のような場合には警告を出してくれると良いと思います。最近は、こうしたときに警告を出してくれるソフトウェアが増えてきてはいますが、まだまだ少ないように感じています。

伽藍とバザール?

UNIX 系コマンドのオプションが統一されていないことは最初に書きましたが、PowerShell は統一されているので、その点は良いと思います。

OSS として自由に発展してきたのか、一社で開発しているのかの違いなのかなと感じました。

まとめ

ソフトウェアによって、同じような事をするにもやり方が違う場合が良くあります。初めて触る場合には、勘違いして間違った設定をしないよう、ドキュメントなどをしっかり確認することが重要かなと思います。一方、ソフトウェア側としても、間違いやすい設定をしている場合には警告を出すなどの配慮が必要だと思います。

July 14, 2021 - posted by 中の人(管理者)

← 前の投稿

Raspberry Pi は自宅ネットワークのゲートウェイにちょうど良い

次の投稿 →

2020年代の自宅サーバー

コメントを残す

優秀な技術者と一緒に、好きな場所で働きませんか

株式会社もばらぶでは、優秀で意欲に溢れる方を常に求めています。働く場所は自由、働く時間も柔軟に選択可能です。

現在、以下の職種を募集中です。ご興味のある方は、リンク先をご参照下さい。

最近の投稿

タグ

aws (30)
docker (12)
scala (12)
lambda (11)
python (10)
機械学習 (9)
ruby-on-rails (7)
security (7)
serverless (7)
javascript (6)
s3 (6)
spark (6)
windows (6)
ansible (5)
aws-cli (5)
flutter (5)
go (5)
java (5)
node-js (5)
rails (5)
terraform (5)
typescript (5)
自然言語処理 (5)
bert (4)
firebase (4)
github (4)
iam (4)
laravel (4)
mod_wsgi (4)
raspberry-pi (4)
react (4)
ruby (4)
centos (3)
cli (3)
dart (3)
docker-compose (3)
ec2 (3)
git (3)
kinesis (3)
kubernetes (3)
php (3)
react-native (3)
scraping (3)
vagrant (3)
activerecord (2)
amazon-workspaces (2)
apache-arrow (2)
aws-deep-learning-ami (2)
azure (2)
bug (2)
collection (2)
container (2)
database (2)
debug (2)
eks (2)
elasticsearch (2)
eventbridge (2)
jest (2)
jmeter (2)
k8s (2)
linux (2)
machine-learning (2)
macos (2)
mfa (2)
nlp (2)
opencv (2)
openssl (2)
option (2)
postgresql (2)
rds (2)
realtimedatabase (2)
slack (2)
switchbot (2)
testing (2)
ubuntu (2)
virtualbox (2)
vue-js (2)
vuetify (2)
自宅サーバー (2)

アーカイブ