Benutzer-Werkzeuge

Webseiten-Werkzeuge


software:apache

Dies ist eine alte Version des Dokuments!


Apache Webserver

Apache ist ein weit verbreiteter Webserver.

Benutzer und Gruppen

Der Apache-Webserver läuft unter Ubuntu standardmäßig mit dem Nutzer www-data:www-data. Die Benutzer der SSH / FTP-Accounts (zum Zugriff auf die virtuellen Hosts) müssen demnach in der Gruppe www-data sein, damit eine Zugriffssteuerung möglich ist. Dateien und Verzeichnisse, die der Apache ,,nur lesen“ darf, werden dann mit den Rechten 750 (d rwx r-x- —) belegt und solche, in die er auch schreiben darf mit 770 (d rwx rwx —). Andere Nutzer dürfen auf die Dateien zunächst nicht zugreifen. Falls das benötigt wird, muss man das dritte Rechteattribut noch setzen.

Runtime Informationen

Geladene Module

# apachectl -M

Konfiguration des Webservers

Die zentrale Konfigurationsdatei befindet sich unter /etc/apache2/apache2.conf. Darin werden die Konfigurationsdaten für die Module (mods-enabled/*) und die Konfigurationsdateien für die einzelnen Webseiten (sites-enabled/*) geladen. Die zentrale Konfigurationsdatei wird demnach nur selten abgeändert.

Virtuelle Hosts und Direktiven

Um verschiedene Webseiten auf einem Server sauber voneinander zu trennen, hat Apache das Konzept der virtuellen Hosts. Je nach angefragtem Domainnamen oder IP-Adresse wird dann unterschiedliches von Apache auf die Anfrage ausgeliefert. Details zu den verschiedenen Arten können in der Apache-Dokumentation[http://httpd.apache.org/docs/2.2/de/vhosts/] abgerufen werden.

Werden VHosts verwendet, ist die Standardkonfiguration nicht mehr aktiv und muss auch in einen entsprechenden VHost ausgelagert werden. Kollidieren zwei VHosts mit ihrer Konfiguration wird beim Start des Apache eine Fehlermeldung ausgegeben.

Unter Ubuntu liegen die Apache-Konfigurationsdateien unter /etc/apache2/. Im Verzeichnis sites-available/ befinden sich alle verfügbarten VHost-Konfigurationen und im Verzeichnis sites-enabled/ ggf. ein Softlink zu der Konfiguration.

Aktivieren einer VHost-Konfiguration

# a2ensite [Domainname][.ssl]

Deaktivieren einer VHost-Konfiguration

# a2dissite [Domainname][.ssl]

Beispiel-Konfiguraionsdatei für einen VHost (ohne SSL)

<VirtualHost *:80>
# Minimal-Daten eines VHosts
ServerName wiba10.de
DocumentRoot "/srv/www/vhosts/wiba10.de/httpdocs"
ServerAdmin webmaster@wiba10.de

# Auf welche Domains "hört" dieser VHost auch noch?
ServerAlias www2.wiba10.de www.wiba10.de

# Logdateien für einen VHost von anderen Logs des Apache trennen
ErrorLog /srv/www/vhosts/wiba10.de/logs/error.log
LogLevel warn
CustomLog /srv/www/vhosts/wiba10.de/logs/access.log "combined"

# Berechtigungen für den Dateizugriff setzen
 <Directory "/srv/www/vhosts/wiba10.de/httpdocs">
  allow from all
  Options +Indexes
 </Directory>
</ VirtualHost >

Konfiguration der SSL-Verschlüsselung

Apache Modul laden, wenn es nicht bereits geladen ist:

$ a2enmod ssl

In /etc/apache2/ports.conf muss der Port 443 mit dem Befehl Listen 443 im Bereich <IfModule modssl.c> eingetragen werden.

Es muss noch die Direktive (= Anweisung, Auftrag, Befehl, Richtlinie) NameVirtualHost *:443 in diesem Bereich eingetragen werden und in der /etc/apache2/sites-available/default-ssl die VirtualHost-Direktive zu <VirtualHost *:443> geändert werden, damit virtuelle Hosts mit SSL genutzt werden können.

# /etc/init.d/apache2 restart

Erstellen eines neuen Zertifikates

Da der Nutzer des Verzeichnisses /srv/www/vhosts/[Domain]/ vom aktuell eingeloggten unterschiedlich ist, ist es zweckmäßig, die Zertifikaterstellung zunächst im Home-Verzeichnis vorzunehmen und dann in das Vhost-Verzeichnis zu kopieren.

Also:

# openssl req -new > [Zertifikat-Dateiname].csr

Schlüssel erzeugen:

# openssl rsa -in privkey.pem -out [Zertifikat-Dateiname].key

Öffentliches Zertifikat erstellen:

$ openssl x509 -in [Zertifikat-Dateiname].csr -out [Zertifikat-Dateiname].crt -req -signkey [Zertifikat-Dateiname].key

Mit der Option –days [Tage] kann eine Gültigkeitsdauer in Tagen angegeben werden.

Weitere Informationen: Virtual Host Direktiven Tutorium: SSL-Zertifikat erstellen

Einbinden des Zertifikats in die Apache (VHost-)Konfiguration

In der VHost-Konfiguration für den Port 443 (SSL-Port) folgende Zeilen hinzufügen:

# SSLEngine               On
# SSLCertificateKeyFile   /srv/www/vhosts/[vhost-Ordner]/[Dateiname].key
# SSLCertificateFile      /srv/www/vhosts/[vhost-Ordner]/[Dateiname].crt
#       #Bei verifizierten Zertifikaten muss hier noch das SSLCACertificate der Zertifizierungsstelle eingebunden werden

Apache Module

Einfache Authentifizierung (mod_auth)

.htaccess-Datei

Uber folgenden Befehl kann man einer .htpasswd-Datei neue Nutzer hinzufügen. Die Option -c legt eine neue Datei an.

#  htpasswd  -b  [dateiname]  [nutzername]  [passwort]

Passwort zu einem Benutzer hinzufügen

Hinzufügen eines Passworts zu einem Nutzer

htpasswd -b [password-file] [username] [password]

MySQL-Authentifizierung (mod_auth_mysql)

Man kann neben dem Zugriffsschutz, der über die .htaccess-Datei möglich ist, auch die Nutzer aus einer Datenbank mittels SQL auslesen. Das zugeh¨orige Modul holt man mit:

# apt-get install libapache2-mod-auth-mysql

Apache Modul aktivieren:

# a2enmod auth mysql   
# service apache2 restart

MySQL-Tabellen anlegen

mysql -uroot -p

mysql> grant all on auth.* to auth_user@localhost identified by '<password>';

mysql> flush privileges;

mysql> create database auth;

CREATE TABLE `clients` (
`username` varchar(25) NOT NULL default '',
`passwd` varchar(25) NOT NULL default '',
`groups` varchar(25) NOT NULL default '',
PRIMARY KEY (`username`),
KEY `groups` (`groups`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1;

INSERT INTO `clients` VALUES ('<username>', '<password>', '<group>');

WebDav (mod_dav)

Webdav ermöglicht einen Dateiupload und die Integration von entfernten Verzeichnissen in die Dateistruktur von Clients.

$ a2enmod dav
$ a2enmod dav fs
# service apache2 restart

Fast CGI (mod_fcgi / mod_fastcgi)

Die Apache-Module mod_fastcgi (offenbar Fremdmodul) und mod_fcgi bieten eine schnellere Implementierung von CGI-Scripts. mod_fcgi ist wohl eine neuere Implementierung.

Zur Installation:

# apt-get install libapache2-mod-fcgi
# service apache2 reload

Subversion (dav_svn)

Mittels # apt-get subversion libapache2-svn apache2-mpm-prefork kann man sich den Apache SVN-Server holen. Um über den Apache Webserver Zugriff auf das Repository zu erlangen, muss man noch das entsprechende Apache-Modul aktivieren: # a2enmod dav_ svn. Weitere Informationen unter[http://wiki.ubuntuusers.de/subversion].

Anpassen der Webserverkonfiguraion

Die Datei /etc/apache2/mods-enabled/dav_svn.conf steuert die Konfiguration und muss bei mehreren Repositories wie folgt angepasst werden:

<Location /svn>
  DAV svn								# Aktiviert den Zugriff
  SVNPath /var/local/svn						# Pfad zu den Repos
  AuthType Basic							# Authentifizierung
  AuthName "Subversion repository"
  AuthUserFile /etc/apache2/dav_svn.passwd
  <LimitExcept GET PROPFIND OPTIONS REPORT>
     Require valid-user
  </LimitExcept>
</Location>

Anlegen eines Repositories

In einem Verzeichnis, das nicht das Document Root-Verzeichnis des Webservers ist, kann dann angelegt werden (z.B. /srv/svn/repo1). Mittels

/srv/svn/# svnadmin create nameDesRepositories

Wird dann ein Repository erzeugt. Um das Verzeichnis auch aus dem Internet erreichbar zu machen, muss man den Dateibesitz zu www-data:www–data ändern und dem Webserver ggf. Schreibrechte geben.

Benutzer hinzufügen und Berechtigung erteilen

Informationen unter: http://wiki.ubuntuusers.de/Subversion#Zentrale-Zugriffsbeschraenkung-mehrerer-Projekte

Das Passwordfile für SVN liegt bei uns unter /etc/apache2/dav_svn.passwd

Nachfolgend können die Zugriffsrecht in der Datei

# /etc/apache2/dav_svn.authz

angepasst werden. Dort werden anfangs Gruppen definiert, die als Berechtigte einem Repository zugeordnet werden können. Es ist zudem möglich, einzelne Benutzern bestimmte Rechte zu geben.

Schließlich muss das Password eines Nutzers angelegt/geändert werden mit

# htpasswd -b dav_svn.passwd <NUTZER>

Repositories Verwalten

Repositories dumpen (incl. aller Revisionen)

svnadmin dump /srv/svn/repo/ > ~/repo.dump

Repository Dump einspielen

svnadmin load /srv/svn/neuesRepo/ < ~/repo.dump 

Ein Dump kann auch in ein anderes Repository eingespielt werden:

svnadmin load /srv/svn/neuesRepo/ --parent-dir /unterverzeichnis/ < ~/repo.dump 

Somit können Repositories auch zusammengefasst werden 1)

Bei Verwendung dieses Wikis erklären Sie sich mit dem Haftungsausschluss, Nutzungsbedingungen und der Datenschutzerklärung dieses Wikis einverstanden. Impressum.

software/apache.1336946383.txt.gz · Zuletzt geändert: 2012/10/11 10:23 (Externe Bearbeitung)