先日Apacheの脆弱性が発見されたみたいです。


現時点ではPatchがまだ出ていないですが、出るまで放っておく訳にもいきません。


mod_limitipconnモジュールで1IPからの同時接続数を制限すると効果が出そうです。


さっそく入れてみましょう。





ちなみにApacheはパッケージでインストールしてあります。


# wget http://dominia.org/djao/limit/mod_limitipconn-0.23-1.el5.i386.rpm
# rpm -ivh ./mod_limitipconn-0.23-1.el5.i386.rpm


インストールするとconfファイルができます。


/etc/httpd/conf.d/limitipconn.conf


<IfModule mod_limitipconn.c>～</IfModule>に必要な設定を記述します。


　MaxConnPerIP：最大接続数の指定（0だと無制限）
　OnlyIPLimit：制限対象となるファイル形式（MIMEタイプ）の指定
　NoIPLimit：制限対象としないファイル形式（MIMEタイプ）の指定


たとえばこんな感じ。

<IfModule mod_limitipconn.c>
	# /hogeディレクトリ内のMIMEタイプが「image/*」のファイルは同時ダウンロード数を5とする
	<Location /hoge>
		MaxConnPerIP 5
		OnlyIPLimit image/*
	</Location>
	
	# 拡張子「zip」「tgz」のファイルは同時ダウンロード数を1とする
	<FilesMatch "\.(zip|tgz)$">
		MaxConnPerIP 1
	</FilesMatch>
</IfModule>

後はApacheを再起動


# /etc/init.d/httpd graceful




ソースからインストールする方法はまた後で。




参考：接続数／帯域制限で無法なダウンローダを撃退