Dies ist eine alte Version des Dokuments!
Apache ist ein weit verbreiteter Webserver.
Der Apache-Webserver läuft unter Ubuntu standardmäßig mit dem Nutzer www-data:www-data. Die Benutzer der SSH / FTP-Accounts (zum Zugriff auf die virtuellen Hosts) müssen demnach in der Gruppe www-data sein, damit eine Zugriffssteuerung möglich ist. Dateien und Verzeichnisse, die der Apache ,,nur lesen“ darf, werden dann mit den Rechten 750 (d rwx r-x- —) belegt und solche, in die er auch schreiben darf mit 770 (d rwx rwx —). Andere Nutzer dürfen auf die Dateien zunächst nicht zugreifen. Falls das benötigt wird, muss man das dritte Rechteattribut noch setzen.
# apachectl -M
Die zentrale Konfigurationsdatei befindet sich unter /etc/apache2/apache2.conf. Darin werden die Konfigurationsdaten für die Module (mods-enabled/*) und die Konfigurationsdateien für die einzelnen Webseiten (sites-enabled/*) geladen. Die zentrale Konfigurationsdatei wird demnach nur selten abgeändert.
Um verschiedene Webseiten auf einem Server sauber voneinander zu trennen, hat Apache das Konzept der virtuellen Hosts. Je nach angefragtem Domainnamen oder IP-Adresse wird dann unterschiedliches von Apache auf die Anfrage ausgeliefert. Details zu den verschiedenen Arten können in der Apache-Dokumentation[http://httpd.apache.org/docs/2.2/de/vhosts/] abgerufen werden.
Werden VHosts verwendet, ist die Standardkonfiguration nicht mehr aktiv und muss auch in einen entsprechenden VHost ausgelagert werden. Kollidieren zwei VHosts mit ihrer Konfiguration wird beim Start des Apache eine Fehlermeldung ausgegeben.
Unter Ubuntu liegen die Apache-Konfigurationsdateien unter /etc/apache2/. Im Verzeichnis sites-available/ befinden sich alle verfügbarten VHost-Konfigurationen und im Verzeichnis sites-enabled/ ggf. ein Softlink zu der Konfiguration.
# a2ensite [Domainname][.ssl]
# a2dissite [Domainname][.ssl]
<VirtualHost *:80> # Minimal-Daten eines VHosts ServerName wiba10.de DocumentRoot "/srv/www/vhosts/wiba10.de/httpdocs" ServerAdmin webmaster@wiba10.de # Auf welche Domains "hört" dieser VHost auch noch? ServerAlias www2.wiba10.de www.wiba10.de # Logdateien für einen VHost von anderen Logs des Apache trennen ErrorLog /srv/www/vhosts/wiba10.de/logs/error.log LogLevel warn CustomLog /srv/www/vhosts/wiba10.de/logs/access.log "combined" # Berechtigungen für den Dateizugriff setzen <Directory "/srv/www/vhosts/wiba10.de/httpdocs"> allow from all Options +Indexes </Directory> </ VirtualHost >
Apache Modul laden, wenn es nicht bereits geladen ist:
$ a2enmod ssl
In /etc/apache2/ports.conf muss der Port 443 mit dem Befehl Listen 443 im Bereich <IfModule modssl.c> eingetragen werden.
Es muss noch die Direktive (= Anweisung, Auftrag, Befehl, Richtlinie) NameVirtualHost *:443 in diesem Bereich eingetragen werden und in der /etc/apache2/sites-available/default-ssl die VirtualHost-Direktive zu <VirtualHost *:443> geändert werden, damit virtuelle Hosts mit SSL genutzt werden können.
# /etc/init.d/apache2 restart
Da der Nutzer des Verzeichnisses /srv/www/vhosts/[Domain]/ vom aktuell eingeloggten unterschiedlich ist, ist es zweckmäßig, die Zertifikaterstellung zunächst im Home-Verzeichnis vorzunehmen und dann in das Vhost-Verzeichnis zu kopieren.
Also:
# openssl req -new > [Zertifikat-Dateiname].csr
Schlüssel erzeugen:
# openssl rsa -in privkey.pem -out [Zertifikat-Dateiname].key
Öffentliches Zertifikat erstellen:
$ openssl x509 -in [Zertifikat-Dateiname].csr -out [Zertifikat-Dateiname].crt -req -signkey [Zertifikat-Dateiname].key
Mit der Option –days [Tage] kann eine Gültigkeitsdauer in Tagen angegeben werden.
Weitere Informationen: Virtual Host Direktiven Tutorium: SSL-Zertifikat erstellen
In der VHost-Konfiguration für den Port 443 (SSL-Port) folgende Zeilen hinzufügen:
# SSLEngine On # SSLCertificateKeyFile /srv/www/vhosts/[vhost-Ordner]/[Dateiname].key # SSLCertificateFile /srv/www/vhosts/[vhost-Ordner]/[Dateiname].crt # #Bei verifizierten Zertifikaten muss hier noch das SSLCACertificate der Zertifizierungsstelle eingebunden werden
Uber folgenden Befehl kann man einer .htpasswd-Datei neue Nutzer hinzufügen. Die Option -c legt eine neue Datei an.
# htpasswd -b [dateiname] [nutzername] [passwort]
Hinzufügen eines Passworts zu einem Nutzer
htpasswd -b [password-file] [username] [password]
Man kann neben dem Zugriffsschutz, der über die .htaccess-Datei möglich ist, auch die Nutzer aus einer Datenbank mittels SQL auslesen. Das zugeh¨orige Modul holt man mit:
# apt-get install libapache2-mod-auth-mysql
Apache Modul aktivieren:
# a2enmod auth mysql # service apache2 restart
MySQL-Tabellen anlegen
mysql -uroot -p mysql> grant all on auth.* to auth_user@localhost identified by '<password>'; mysql> flush privileges; mysql> create database auth; CREATE TABLE `clients` ( `username` varchar(25) NOT NULL default '', `passwd` varchar(25) NOT NULL default '', `groups` varchar(25) NOT NULL default '', PRIMARY KEY (`username`), KEY `groups` (`groups`) ) ENGINE=MyISAM DEFAULT CHARSET=latin1; INSERT INTO `clients` VALUES ('<username>', '<password>', '<group>');
Webdav ermöglicht einen Dateiupload und die Integration von entfernten Verzeichnissen in die Dateistruktur von Clients.
$ a2enmod dav $ a2enmod dav fs # service apache2 restart
Die Apache-Module mod_fastcgi
(offenbar Fremdmodul) und mod_fcgi
bieten eine schnellere Implementierung von CGI-Scripts. mod_fcgi
ist wohl eine neuere Implementierung.
Zur Installation:
# apt-get install libapache2-mod-fcgi # service apache2 reload
Mittels # apt-get subversion libapache2-svn apache2-mpm-prefork
kann man sich den Apache SVN-Server holen. Um über den Apache Webserver Zugriff auf das Repository zu erlangen, muss man noch das entsprechende Apache-Modul aktivieren: # a2enmod dav_ svn
. Weitere Informationen unter[http://wiki.ubuntuusers.de/subversion].
Die Datei /etc/apache2/mods-enabled/dav_svn.conf
steuert die Konfiguration und muss bei mehreren Repositories wie folgt angepasst werden:
<Location /svn> DAV svn # Aktiviert den Zugriff SVNPath /var/local/svn # Pfad zu den Repos AuthType Basic # Authentifizierung AuthName "Subversion repository" AuthUserFile /etc/apache2/dav_svn.passwd <LimitExcept GET PROPFIND OPTIONS REPORT> Require valid-user </LimitExcept> </Location>
In einem Verzeichnis, das nicht das Document Root-Verzeichnis des Webservers ist, kann dann angelegt werden (z.B. /srv/svn/repo1). Mittels
/srv/svn/# svnadmin create nameDesRepositories
Wird dann ein Repository erzeugt. Um das Verzeichnis auch aus dem Internet erreichbar zu machen, muss man den Dateibesitz zu www-data:www–data
ändern und dem Webserver ggf. Schreibrechte geben.
Informationen unter: http://wiki.ubuntuusers.de/Subversion#Zentrale-Zugriffsbeschraenkung-mehrerer-Projekte
Das Passwordfile für SVN liegt bei uns unter /etc/apache2/dav_svn.passwd
Nachfolgend können die Zugriffsrecht in der Datei
# /etc/apache2/dav_svn.authz
angepasst werden. Dort werden anfangs Gruppen definiert, die als Berechtigte einem Repository zugeordnet werden können. Es ist zudem möglich, einzelne Benutzern bestimmte Rechte zu geben.
Schließlich muss das Password eines Nutzers angelegt/geändert werden mit
# htpasswd -b dav_svn.passwd <NUTZER>
svnadmin dump /srv/svn/repo/ > ~/repo.dump
svnadmin load /srv/svn/neuesRepo/ < ~/repo.dump
Ein Dump kann auch in ein anderes Repository eingespielt werden:
svnadmin load /srv/svn/neuesRepo/ --parent-dir /unterverzeichnis/ < ~/repo.dump
Somit können Repositories auch zusammengefasst werden 1)
Bei Verwendung dieses Wikis erklären Sie sich mit dem Haftungsausschluss, Nutzungsbedingungen und der Datenschutzerklärung dieses Wikis einverstanden. Impressum.