Hallo zusammen. In einem Moment des Nachdenkens über mögliche neue Konfigurationen und Sklaven-Arbeiten für meinen vServer kam mir die Idee, SSL Unterstützung für sicheres Surfen im Café zu aktivieren. Da mein vServer Confixx zum web-basierten Anlegen neuer User (und damit vhosts) benutzt, geschieht die Konfiguration neuer vhosts (die für SSL dann benötigt werden) über die Datei /etc/apache/confixx_vhost.conf. Habe ich das schonmal richtig verstanden? Ohne Confixx gelänge mir dies über eigens erstellte Dateien im Verzeichnis /etc/apache2/sites-available/ , richtig?
Nun ja, durch herumprobieren und ein Mini-Howto über SSL mit dem Apache 2 (http://www.debianhowto.de/doku.php/d...ge:lamp_suphp), welches leider keine Details für dieses spezifischen Confixx-Sachen bereithält, ist es mir doch tatsächlich auf Anhieb gelungen, meine Domain mit einem SSL-Zertifikat zu versorgen und über selbiges meinen Netzverkehr zu verschlüsseln. Denke ich zumindest, sicher bin ich mir da nicht zu 100%. Und deshalb wollte ich euch bitten, mir Klarheit zu verschaffen.
Mittels Wireshark bzw. Ethereal habe ich den Netzverkehr einmal ohne, einmal mit SSL analysiert und nach meinen Fähigkeiten, welche sich noch im Training befinden, SSL als Funktionstüchtig eingestuft. Als Protokoll bei einem Login-Versuch auf meine Site erscheint ohne SSL das Passwort und der Username, übertragen durch POST als urlencode (PHP), im Klartext. Bei dem SSL-Sniff hingegen erscheint dies nirgends, auch steht dort als Protokoll oft TLS und TCP, http taucht nur selten (1-2 mal) auf und enthällt soweit ich das erkennen kann auch keinen besonderen Daten.
Was habe ich geändert um das ganze zu erreichen (Inhalt meiner /etc/apache/confixx_vhost.conf)? :
Code:#### CONFIXX APACHE VHOST FILE #### ### created Fri Mar 24 08:57:13 2006 ### NameVirtualHost IPDESERVERS:80 php_admin_flag safe_mode Off php_admin_value safe_mode_exec_dir /var/www/empty php_admin_flag allow_url_fopen On php_admin_value allow_url_fopen On # SSL Virtual Host! NameVirtualHost IPDESERVERS:443 php_admin_flag safe_mode Off php_admin_value safe_mode_exec_dir /var/www/empty php_admin_flag allow_url_fopen On php_admin_value allow_url_fopen On UseCanonicalName Off LogFormat "%V:#:%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" confixx LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" confixx2 CustomLog |/usr/local/confixx/pipelog.pl confixx <Directory "/var/www"> <Files ~ "^\.ht"> deny from all </Files> AllowOverride None AllowOverride Indexes AuthConfig Limit FileInfo Options None Options +FollowSymLinks +SymLinksIfOwnerMatch +Includes </Directory> <VirtualHost IPDESERVERS:80> ServerName IPDESERVERS DocumentRoot /var/www/confixx/html/gesperrt </VirtualHost> <VirtualHost IPDESERVERS:80> ServerName xxxx.xxxxxxxx.vserver.de ServerAlias www.domain.de domain.de DocumentRoot /var/www/xxxx/html SuexecUserGroup xxxx ftponly ScriptAlias /cgi-bin/ /var/www/xxxx/html/cgi-bin/ php_admin_value open_basedir /var/www/web1/:/var/www/phpmyadmin/:/var/www/confixx/html/gesperrt/ php_admin_value upload_tmp_dir /var/www/xxxx/phptmp/ php_admin_value allow_url_fopen On php_admin_flag allow_url_fopen On </VirtualHost> # SSL Virtual Host! <VirtualHost IPDESERVERS:443> # SSL (START) SSLEngine on SSLCertificateFile /etc/apache2/ssl/apache.pem SSLCertificateKeyFile /etc/apache2/ssl/XXXXXXX.0 SSLProtocol all SSLCipherSuite HIGH:MEDIUM # SSL (ENDE) ServerName xxxx.xxxxxxxx.vserver.de ServerAlias www.domain.de domain.de DocumentRoot /var/www/xxxx/html SuexecUserGroup xxxx ftponly ScriptAlias /cgi-bin/ /var/www/xxxx/html/cgi-bin/ php_admin_value open_basedir /var/www/web1/:/var/www/phpmyadmin/:/var/www/confixx/html/gesperrt/ php_admin_value upload_tmp_dir /var/www/xxxx/phptmp/ php_admin_value allow_url_fopen On php_admin_flag allow_url_fopen On </VirtualHost>
So, es läuft soweit ich das richtig sehe ganz gut. Wie seht Ihr das? Habe ich etwas wichtiges bei der Konfiguration übersehen? Was würdet Ihr anders machen (Safe mode muss ausbleiben!)?
Ich hoffe Ihr könnt mir die Richtigkeit meines Vorgehens bestätigen oder mich verbessern, Danke schonmal für eure Hilfe!
mfg BlackWizard
Lesezeichen