Apache ist ein weit verbreiteter Webserver.

Der Apache-Webserver läuft unter Ubuntu standardmäßig mit dem Nutzer www-data:www-data. Die Benutzer der SSH / FTP-Accounts (zum Zugriff auf die virtuellen Hosts) müssen demnach in der Gruppe www-data sein, damit eine Zugriffssteuerung möglich ist. Dateien und Verzeichnisse, die der Apache ,,nur lesen“ darf, werden dann mit den Rechten 750 (d rwx r-x- —) belegt und solche, in die er auch schreiben darf mit 770 (d rwx rwx —). Andere Nutzer dürfen auf die Dateien zunächst nicht zugreifen. Falls das benötigt wird, muss man das dritte Rechteattribut noch setzen.

# apachectl -M

Die zentrale Konfigurationsdatei befindet sich unter /etc/apache2/apache2.conf. Darin werden die Konfigurationsdaten für die Module (mods-enabled/*) und die Konfigurationsdateien für die einzelnen Webseiten (sites-enabled/*) geladen. Die zentrale Konfigurationsdatei wird demnach nur selten abgeändert.

Um verschiedene Webseiten auf einem Server sauber voneinander zu trennen, hat Apache das Konzept der virtuellen Hosts. Je nach angefragtem Domainnamen oder IP-Adresse wird dann unterschiedliches von Apache auf die Anfrage ausgeliefert. Details zu den verschiedenen Arten können in der Apache-Dokumentation[http://httpd.apache.org/docs/2.2/de/vhosts/] abgerufen werden.

Werden VHosts verwendet, ist die Standardkonfiguration nicht mehr aktiv und muss auch in einen entsprechenden VHost ausgelagert werden. Kollidieren zwei VHosts mit ihrer Konfiguration wird beim Start des Apache eine Fehlermeldung ausgegeben.

Unter Ubuntu liegen die Apache-Konfigurationsdateien unter /etc/apache2/. Im Verzeichnis sites-available/ befinden sich alle verfügbarten VHost-Konfigurationen und im Verzeichnis sites-enabled/ ggf. ein Softlink zu der Konfiguration.

# a2ensite [Domainname][.ssl]

# a2dissite [Domainname][.ssl]

<VirtualHost *:80>
# Minimal-Daten eines VHosts
ServerName wiba10.de
DocumentRoot "/srv/www/vhosts/wiba10.de/httpdocs"
ServerAdmin webmaster@wiba10.de

# Auf welche Domains "hört" dieser VHost auch noch?
ServerAlias www2.wiba10.de www.wiba10.de

# Logdateien für einen VHost von anderen Logs des Apache trennen
ErrorLog /srv/www/vhosts/wiba10.de/logs/error.log
LogLevel warn
CustomLog /srv/www/vhosts/wiba10.de/logs/access.log "combined"

# Berechtigungen für den Dateizugriff setzen
 <Directory "/srv/www/vhosts/wiba10.de/httpdocs">
  allow from all
  Options +Indexes
 </Directory>
</ VirtualHost >

Apache Modul laden, wenn es nicht bereits geladen ist:

$ a2enmod ssl

In /etc/apache2/ports.conf muss der Port 443 mit dem Befehl Listen 443 im Bereich <IfModule modssl.c> eingetragen werden.

Es muss noch die Direktive (= Anweisung, Auftrag, Befehl, Richtlinie) NameVirtualHost *:443 in diesem Bereich eingetragen werden und in der /etc/apache2/sites-available/default-ssl die VirtualHost-Direktive zu <VirtualHost *:443> geändert werden, damit virtuelle Hosts mit SSL genutzt werden können.

# /etc/init.d/apache2 restart

Da der Nutzer des Verzeichnisses /srv/www/vhosts/[Domain]/ vom aktuell eingeloggten unterschiedlich ist, ist es zweckmäßig, die Zertifikaterstellung zunächst im Home-Verzeichnis vorzunehmen und dann in das Vhost-Verzeichnis zu kopieren.

Also:

# openssl req -new > [Zertifikat-Dateiname].csr

Schlüssel erzeugen:

# openssl rsa -in privkey.pem -out [Zertifikat-Dateiname].key

Öffentliches Zertifikat erstellen:

$ openssl x509 -in [Zertifikat-Dateiname].csr -out [Zertifikat-Dateiname].crt -req -signkey [Zertifikat-Dateiname].key

Mit der Option –days [Tage] kann eine Gültigkeitsdauer in Tagen angegeben werden.

Weitere Informationen: Virtual Host Direktiven Tutorium: SSL-Zertifikat erstellen

In der VHost-Konfiguration für den Port 443 (SSL-Port) folgende Zeilen hinzufügen:

# SSLEngine               On
# SSLCertificateKeyFile   /srv/www/vhosts/[vhost-Ordner]/[Dateiname].key
# SSLCertificateFile      /srv/www/vhosts/[vhost-Ordner]/[Dateiname].crt
#       #Bei verifizierten Zertifikaten muss hier noch das SSLCACertificate der Zertifizierungsstelle eingebunden werden

Uber folgenden Befehl kann man einer .htpasswd-Datei neue Nutzer hinzufügen. Die Option -c legt eine neue Datei an.

#  htpasswd  -b  [dateiname]  [nutzername]  [passwort]

Hinzufügen eines Passworts zu einem Nutzer

htpasswd -b [password-file] [username] [password]

Man kann neben dem Zugriffsschutz, der über die .htaccess-Datei möglich ist, auch die Nutzer aus einer Datenbank mittels SQL auslesen. Das zugeh¨orige Modul holt man mit:

# apt-get install libapache2-mod-auth-mysql

Apache Modul aktivieren:

# a2enmod auth mysql   
# service apache2 restart

MySQL-Tabellen anlegen

mysql -uroot -p

mysql> grant all on auth.* to auth_user@localhost identified by '<password>';

mysql> flush privileges;

mysql> create database auth;

CREATE TABLE `clients` (
`username` varchar(25) NOT NULL default '',
`passwd` varchar(25) NOT NULL default '',
`groups` varchar(25) NOT NULL default '',
PRIMARY KEY (`username`),
KEY `groups` (`groups`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1;

INSERT INTO `clients` VALUES ('<username>', '<password>', '<group>');

Webdav ermöglicht einen Dateiupload und die Integration von entfernten Verzeichnissen in die Dateistruktur von Clients.

$ a2enmod dav
$ a2enmod dav fs
# service apache2 restart

Die Apache-Module mod_fastcgi (offenbar Fremdmodul) und mod_fcgi bieten eine schnellere Implementierung von CGI-Scripts. mod_fcgi ist wohl eine neuere Implementierung.

Zur Installation:

# apt-get install libapache2-mod-fcgi
# service apache2 reload

Mittels # apt-get subversion libapache2-svn apache2-mpm-prefork kann man sich den Apache SVN-Server holen. Um über den Apache Webserver Zugriff auf das Repository zu erlangen, muss man noch das entsprechende Apache-Modul aktivieren: # a2enmod dav_ svn. Weitere Informationen unter[http://wiki.ubuntuusers.de/subversion].

Die Datei /etc/apache2/mods-enabled/dav_svn.conf steuert die Konfiguration und muss bei mehreren Repositories wie folgt angepasst werden:

<Location /svn>
  DAV svn								# Aktiviert den Zugriff
  SVNPath /var/local/svn						# Pfad zu den Repos
  AuthType Basic							# Authentifizierung
  AuthName "Subversion repository"
  AuthUserFile /etc/apache2/dav_svn.passwd
  <LimitExcept GET PROPFIND OPTIONS REPORT>
     Require valid-user
  </LimitExcept>
</Location>

In einem Verzeichnis, das nicht das Document Root-Verzeichnis des Webservers ist, kann dann angelegt werden (z.B. /srv/svn/repo1). Mittels

/srv/svn/# svnadmin create nameDesRepositories

Wird dann ein Repository erzeugt. Um das Verzeichnis auch aus dem Internet erreichbar zu machen, muss man den Dateibesitz zu www-data:www–data ändern und dem Webserver ggf. Schreibrechte geben.

Informationen unter: http://wiki.ubuntuusers.de/Subversion#Zentrale-Zugriffsbeschraenkung-mehrerer-Projekte

Allg.: Für alle Repositories mit direktem Bezug zum Studium wurde der Übersicht wegen ein Meta-Repository „wibaStud“ erstellt. Diesem untergeordnet liegen alle SVN-Ordner - die als eigene Repositories betrachtet werden.

Das Passwordfile für SVN liegt bei uns unter /etc/apache2/dav_svn.passwd

Für einen SVN-Zugang muss kein Benutzer auf der Ubuntu-Maschine angelegt werden, sondern nur in der Datei unter

# /etc/apache2/dav_svn.authz

Dort werden anfangs Gruppen definiert, die als Berechtigte einem Repository zugeordnet werden können. Es ist zudem möglich, einzelne Benutzern bestimmte Rechte zu geben.

Schließlich muss das Password eines Nutzers angelegt/geändert werden mit

# htpasswd -b dav_svn.passwd <NUTZER>

svnadmin dump /srv/svn/repo/ > ~/repo.dump

svnadmin load /srv/svn/neuesRepo/ < ~/repo.dump 

Ein Dump kann auch in ein anderes Repository eingespielt werden:

svnadmin load /srv/svn/neuesRepo/ --parent-dir /unterverzeichnis/ < ~/repo.dump 

Somit können Repositories auch zusammengefasst werden ¹⁾