BlackWizard
04.07.06, 00:29
Hallo zusammen. In einem Moment des Nachdenkens über mögliche neue Konfigurationen und Sklaven-Arbeiten für meinen vServer kam mir die Idee, SSL Unterstützung für sicheres Surfen im Café zu aktivieren. Da mein vServer Confixx zum web-basierten Anlegen neuer User (und damit vhosts) benutzt, geschieht die Konfiguration neuer vhosts (die für SSL dann benötigt werden) über die Datei /etc/apache/confixx_vhost.conf. Habe ich das schonmal richtig verstanden? Ohne Confixx gelänge mir dies über eigens erstellte Dateien im Verzeichnis /etc/apache2/sites-available/ , richtig?
Nun ja, durch herumprobieren und ein Mini-Howto über SSL mit dem Apache 2 (http://www.debianhowto.de/doku.php/de:howtos:sarge:lamp_suphp), welches leider keine Details für dieses spezifischen Confixx-Sachen bereithält, ist es mir doch tatsächlich auf Anhieb gelungen, meine Domain mit einem SSL-Zertifikat zu versorgen und über selbiges meinen Netzverkehr zu verschlüsseln. Denke ich zumindest, sicher bin ich mir da nicht zu 100%. Und deshalb wollte ich euch bitten, mir Klarheit zu verschaffen.
Mittels Wireshark bzw. Ethereal habe ich den Netzverkehr einmal ohne, einmal mit SSL analysiert und nach meinen Fähigkeiten, welche sich noch im Training befinden, SSL als Funktionstüchtig eingestuft. Als Protokoll bei einem Login-Versuch auf meine Site erscheint ohne SSL das Passwort und der Username, übertragen durch POST als urlencode (PHP), im Klartext. Bei dem SSL-Sniff hingegen erscheint dies nirgends, auch steht dort als Protokoll oft TLS und TCP, http taucht nur selten (1-2 mal) auf und enthällt soweit ich das erkennen kann auch keinen besonderen Daten.
Was habe ich geändert um das ganze zu erreichen (Inhalt meiner /etc/apache/confixx_vhost.conf)? :
#### CONFIXX APACHE VHOST FILE ####
### created Fri Mar 24 08:57:13 2006 ###
NameVirtualHost IPDESERVERS:80
php_admin_flag safe_mode Off
php_admin_value safe_mode_exec_dir /var/www/empty
php_admin_flag allow_url_fopen On
php_admin_value allow_url_fopen On
# SSL Virtual Host!
NameVirtualHost IPDESERVERS:443
php_admin_flag safe_mode Off
php_admin_value safe_mode_exec_dir /var/www/empty
php_admin_flag allow_url_fopen On
php_admin_value allow_url_fopen On
UseCanonicalName Off
LogFormat "%V:#:%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" confixx
LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" confixx2
CustomLog |/usr/local/confixx/pipelog.pl confixx
<Directory "/var/www">
<Files ~ "^\.ht">
deny from all
</Files>
AllowOverride None
AllowOverride Indexes AuthConfig Limit FileInfo
Options None
Options +FollowSymLinks +SymLinksIfOwnerMatch +Includes
</Directory>
<VirtualHost IPDESERVERS:80>
ServerName IPDESERVERS
DocumentRoot /var/www/confixx/html/gesperrt
</VirtualHost>
<VirtualHost IPDESERVERS:80>
ServerName xxxx.xxxxxxxx.vserver.de
ServerAlias www.domain.de domain.de
DocumentRoot /var/www/xxxx/html
SuexecUserGroup xxxx ftponly
ScriptAlias /cgi-bin/ /var/www/xxxx/html/cgi-bin/
php_admin_value open_basedir /var/www/web1/:/var/www/phpmyadmin/:/var/www/confixx/html/gesperrt/
php_admin_value upload_tmp_dir /var/www/xxxx/phptmp/
php_admin_value allow_url_fopen On
php_admin_flag allow_url_fopen On
</VirtualHost>
# SSL Virtual Host!
<VirtualHost IPDESERVERS:443>
# SSL (START)
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/apache.pem
SSLCertificateKeyFile /etc/apache2/ssl/XXXXXXX.0
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM
# SSL (ENDE)
ServerName xxxx.xxxxxxxx.vserver.de
ServerAlias www.domain.de domain.de
DocumentRoot /var/www/xxxx/html
SuexecUserGroup xxxx ftponly
ScriptAlias /cgi-bin/ /var/www/xxxx/html/cgi-bin/
php_admin_value open_basedir /var/www/web1/:/var/www/phpmyadmin/:/var/www/confixx/html/gesperrt/
php_admin_value upload_tmp_dir /var/www/xxxx/phptmp/
php_admin_value allow_url_fopen On
php_admin_flag allow_url_fopen On
</VirtualHost>
So, es läuft soweit ich das richtig sehe ganz gut. Wie seht Ihr das? Habe ich etwas wichtiges bei der Konfiguration übersehen? Was würdet Ihr anders machen (Safe mode muss ausbleiben!)?
Ich hoffe Ihr könnt mir die Richtigkeit meines Vorgehens bestätigen oder mich verbessern, Danke schonmal für eure Hilfe!
mfg BlackWizard
Nun ja, durch herumprobieren und ein Mini-Howto über SSL mit dem Apache 2 (http://www.debianhowto.de/doku.php/de:howtos:sarge:lamp_suphp), welches leider keine Details für dieses spezifischen Confixx-Sachen bereithält, ist es mir doch tatsächlich auf Anhieb gelungen, meine Domain mit einem SSL-Zertifikat zu versorgen und über selbiges meinen Netzverkehr zu verschlüsseln. Denke ich zumindest, sicher bin ich mir da nicht zu 100%. Und deshalb wollte ich euch bitten, mir Klarheit zu verschaffen.
Mittels Wireshark bzw. Ethereal habe ich den Netzverkehr einmal ohne, einmal mit SSL analysiert und nach meinen Fähigkeiten, welche sich noch im Training befinden, SSL als Funktionstüchtig eingestuft. Als Protokoll bei einem Login-Versuch auf meine Site erscheint ohne SSL das Passwort und der Username, übertragen durch POST als urlencode (PHP), im Klartext. Bei dem SSL-Sniff hingegen erscheint dies nirgends, auch steht dort als Protokoll oft TLS und TCP, http taucht nur selten (1-2 mal) auf und enthällt soweit ich das erkennen kann auch keinen besonderen Daten.
Was habe ich geändert um das ganze zu erreichen (Inhalt meiner /etc/apache/confixx_vhost.conf)? :
#### CONFIXX APACHE VHOST FILE ####
### created Fri Mar 24 08:57:13 2006 ###
NameVirtualHost IPDESERVERS:80
php_admin_flag safe_mode Off
php_admin_value safe_mode_exec_dir /var/www/empty
php_admin_flag allow_url_fopen On
php_admin_value allow_url_fopen On
# SSL Virtual Host!
NameVirtualHost IPDESERVERS:443
php_admin_flag safe_mode Off
php_admin_value safe_mode_exec_dir /var/www/empty
php_admin_flag allow_url_fopen On
php_admin_value allow_url_fopen On
UseCanonicalName Off
LogFormat "%V:#:%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" confixx
LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" confixx2
CustomLog |/usr/local/confixx/pipelog.pl confixx
<Directory "/var/www">
<Files ~ "^\.ht">
deny from all
</Files>
AllowOverride None
AllowOverride Indexes AuthConfig Limit FileInfo
Options None
Options +FollowSymLinks +SymLinksIfOwnerMatch +Includes
</Directory>
<VirtualHost IPDESERVERS:80>
ServerName IPDESERVERS
DocumentRoot /var/www/confixx/html/gesperrt
</VirtualHost>
<VirtualHost IPDESERVERS:80>
ServerName xxxx.xxxxxxxx.vserver.de
ServerAlias www.domain.de domain.de
DocumentRoot /var/www/xxxx/html
SuexecUserGroup xxxx ftponly
ScriptAlias /cgi-bin/ /var/www/xxxx/html/cgi-bin/
php_admin_value open_basedir /var/www/web1/:/var/www/phpmyadmin/:/var/www/confixx/html/gesperrt/
php_admin_value upload_tmp_dir /var/www/xxxx/phptmp/
php_admin_value allow_url_fopen On
php_admin_flag allow_url_fopen On
</VirtualHost>
# SSL Virtual Host!
<VirtualHost IPDESERVERS:443>
# SSL (START)
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/apache.pem
SSLCertificateKeyFile /etc/apache2/ssl/XXXXXXX.0
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM
# SSL (ENDE)
ServerName xxxx.xxxxxxxx.vserver.de
ServerAlias www.domain.de domain.de
DocumentRoot /var/www/xxxx/html
SuexecUserGroup xxxx ftponly
ScriptAlias /cgi-bin/ /var/www/xxxx/html/cgi-bin/
php_admin_value open_basedir /var/www/web1/:/var/www/phpmyadmin/:/var/www/confixx/html/gesperrt/
php_admin_value upload_tmp_dir /var/www/xxxx/phptmp/
php_admin_value allow_url_fopen On
php_admin_flag allow_url_fopen On
</VirtualHost>
So, es läuft soweit ich das richtig sehe ganz gut. Wie seht Ihr das? Habe ich etwas wichtiges bei der Konfiguration übersehen? Was würdet Ihr anders machen (Safe mode muss ausbleiben!)?
Ich hoffe Ihr könnt mir die Richtigkeit meines Vorgehens bestätigen oder mich verbessern, Danke schonmal für eure Hilfe!
mfg BlackWizard