Administration eines Apache-Web-Servers. 10. Juni 2005 Dieter Huth Folie 1

Transkript

1 Administration eines Apache-Web-Servers 10. Juni 2005 Dieter Huth Folie 1

2 Ziel dieser Veranstaltung Die Standard-Administration eines Apache-Webservers selbstständig durchführen zu können. 10. Juni 2005 Dieter Huth Folie 2

3 Inhalte 1/2 Was bietet der Apache? Einrichtung eines lauffähigen Systems Administration: Virtual Hosting / Virtual Website SSI-Anweisungen CGI 10. Juni 2005 Dieter Huth Folie 3

4 Inhalte 2/2 Sicherheitsaspekte HTTP-Authentifizierung Server-Status und Logging Web-Sicherheitsfragen Fortgeschrittene Anwendungen Secured Socket Layer (SSL) URLs substituieren 10. Juni 2005 Dieter Huth Folie 4

5 Literatur Literatur: Mohammed Kabir, Die Apache Administration Bibel Bonn: MITP-Verlag, 1999 Mohammed J. Kabir, Apache Server 2 Bible, Published by Hungry Minds, Inc., Juni 2005 Dieter Huth Folie 5

6 Was bietet der Apache? Verfügbar für nahezu alle verbreiteten Betriebssysteme Wichtige Leistungsmerkmale: Neues HTTP/1.1-Protokoll Einfache, aber mächtige dateigestützte Konfiguration Common-Gateway-Interface (CGI) Virtuelle Hosts sowohl IP-basiert, als auch benannt definierbar 10. Juni 2005 Dieter Huth Folie 6

7 Was bietet der Apache? HTTP-Authentifizierung Integriertes Perl Integrierter Proxy-Server Server-Status-Überwachung und anpaßbare Logfiles Server-Side-Includes (SSI) Secure-Socket-Layers (SSL) Verfolgung von Benutzer-Sessions Fast-CGI Java-Servlets 10. Juni 2005 Dieter Huth Folie 7

8 Architektur Standarddistribution Apache-Kern (oder Core) Standardmodule Site-spezifische Konfiguration Module hinzufügen Standardmodule entfernen 10. Juni 2005 Dieter Huth Folie 8

9 Servereinsatz Monatliche Statistik weltweit unter Juni 2005 Dieter Huth Folie 9

10 Download Offizielle Quelle: Einsatz vorgefertigter Binärpakete z.b. bei den Linux-Distributionen XAMPP für Windows: XAMPP für Linux: Juni 2005 Dieter Huth Folie 10

11 XAMPP-Installation c:\temp\xampp-win installer.exe starten Auf den Übungsrechnern wird XAMPP in das Verzeichnis c:\apachefriends\xampp installiert. Start des Webservers über das Controlpanel Sind die Beispielseiten unter sichtbar? 10. Juni 2005 Dieter Huth Folie 11

12 Apache-Verzeichnisse /usr/local/httpd mit den Unterverzeichnissen htdocs HTML-Dokumente cgi-bin Programme, die vom Webserver gestartet werden sollen Icons Icons für den Webserver 10. Juni 2005 Dieter Huth Folie 12

13 Konfigurationsdateien /etc/httpd httpd.conf Konfiguration des Web-Servers access.conf Zugangsregelung zum Web-Server srm.conf Konfiguration der Web-Server-Ressourcen mime.types Auflistung der MIME-Typen 10. Juni 2005 Dieter Huth Folie 13

14 ServerType ServerType standalone inetd Modus des Serverbetriebs The ServerType directive sets how the server is executed by the system. Type is one of inetd The server will be run from the system process inetd; the command to start the server is added to / etc/inetd.conf standalone The server will run as a daemon process; the command to start the server is added to the system startup scripts. (/etc/rc.local or /etc/rc3.d/...) 10. Juni 2005 Dieter Huth Folie 14

15 Port Port [Nummer] Welcher TCP/IP-Port soll überwacht werden? Number is a number from 0 to 65535; some port numbers (especially below 1024) are reserved for particular protocols. See /etc/services for a list of some defined ports; the standard port for the http protocol is Juni 2005 Dieter Huth Folie 15

16 Benutzer- und Gruppennamen User [Benutzername #UID] Group [Gruppenname #GID] The User directive sets the userid as which the server will answer requests. In order to use this directive, the standalone server must be run initially as root. Unix-userid is one of: A username Refers to the given user by name. # followed by a user number. Refers to a user by their number. The Group directive sets the group under which the server will answer requests. In order to use this directive, the stand-alone server must be run initially as root. 10. Juni 2005 Dieter Huth Folie 16

17 Weitere Anweisungen ServerAdmin [ -Adresse] Fehlerseite mit einer -Adresse ServerRoot [vollständiger Pfad] Pfad für serverbezogene Dateien Juni 2005 Dieter Huth Folie 17

18 Weitere Anweisungen ErrorLog [vollständiger Pfad oder nur Name der Fehler-Log-Datei] TransferLog [s.o.] PidFile [vollständiger Pfad der Datei] Enthält die Prozeß-Id Juni 2005 Dieter Huth Folie 18

19 Weitere Anweisungen ServerName [Hostname] Hostname des Servers im Internet URL der Website Juni 2005 Dieter Huth Folie 19

20 Verzeichnis für Webdokumente DocumentRoot [vollständiger Pfad] Wurzelverzeichnis für alle Dokumente This directive sets the directory from which httpd will serve files. Unless matched by a directive like Alias, the server appends the path from the requested URL to the document root to make the path to the document. Example: DocumentRoot /usr/web then an access to refers to / usr/web/index.html. There appears to be a bug in mod_dir which causes problems when the DocumentRoot has a trailing slash (i.e., "DocumentRoot /usr/web/") so please avoid that. 10. Juni 2005 Dieter Huth Folie 20

21 Cgi-bin-Verzeichnisse ScriptAlias [/alias/] [vollständiger Pfad] Verzeichnis für CGI-Skripte Juni 2005 Dieter Huth Folie 21

22 Benutzerverzeichnisse UserDir [Verzeichnisname] Documentverzeichnis für die Benutzer des Systems Juni 2005 Dieter Huth Folie 22

23 Indexdateien DirectoryIndex [Dateiname1, Dateiname2,... ] Festlegung der Index-Dateien (Startdatei in einem Dokumentverzeichnis) Juni 2005 Dieter Huth Folie 23

24 Zugriffsrechte <Directory Verzeichnis>... </Directory> Bei der Erstinstallation diesen Container auf das Dokumentverzeichnis setzen Juni 2005 Dieter Huth Folie 24

25 Start des Web-Servers /sbin/init.d/apache start httpd -f /pfad/zu/httpd.conf apachectl start bzw. startssl /etc/rc.config: START_HTTPD=yes apache.exe -k start apache.exe -i 10. Juni 2005 Dieter Huth Folie 25

26 Stoppen des Web-Servers Kill -TERM 'cat / usr/local/etc/apache/logs/httpd.pid' apachectl stop apache.exe -k stop shutdown 10. Juni 2005 Dieter Huth Folie 26

27 Erneutes Starten des Web- Servers Kill -HUP 'cat / usr/local/etc/apache/logs/httpd.pid' apachectl restart Erneutes Einlesen der Konfigurationsdateien apache.exe -k restart 10. Juni 2005 Dieter Huth Folie 27

28 Testen des Servers Überprüfen der Logdateien: tail -f access_log tail -f error_log Läuft Ihr System? Wo stehen die Logdateien? Bitte den Inhalt anzeigen lassen. 10. Juni 2005 Dieter Huth Folie 28

29 Screenshot des XAMPP Juni 2005 Dieter Huth Folie 29

30 Administration Virtual Hosting / Virtual Website SSI-Anweisungen CGI 10. Juni 2005 Dieter Huth Folie 30

31 Einsatz virtueller Sites DNS-Konfiguration: Name: Address: Aliases: Name: Address: Aliases: Juni 2005 Dieter Huth Folie 31

32 Einsatz virtueller Sites Weitere Informationen im DNS: > set q=ns > canonical name = hrz.uni-essen.de primary name server = ns1.netz.uni-essen.de responsible mail addr = netadm.netz.uni-essen.de serial = refresh = (3 hours) retry = 1800 (30 mins) expire = (41 days 16 hours) default TTL = (12 hours) 10. Juni 2005 Dieter Huth Folie 32

33 IP-basiert Jeder Host erhält eine eigene IP-Adresse Alias-fähiges ifconfig-tool unter Unix-Betriebssystemen Auch unter Windows 2000 einsetzbar Nicht die beste Lösung, denn: IP-Adressen gehören zu den knappen Ressourcen im Internet Eindeutige Zuordnung von Ethernet-MAC-Adresse und IP-Adresse ist nicht mehr möglich. 10. Juni 2005 Dieter Huth Folie 33

34 Namensbasiert Mit HTTP/1.1 wird im Host:-Header der Hostname übermittelt. Nur CNAME-Einträge im DNS notwendig, die auf einen vorhandenen Host mit A- Eintrag verweisen: IN A Definiert die IP-Nummer eines Hostnamens, wird nur einmal für jede IP-Nummer definiert. Weitere Namen werden per CNAME angegeben. IN CNAME Definiert einen weiteren Namen eines Rechners (Nickname). 10. Juni 2005 Dieter Huth Folie 34

35 Konfiguration beim Apache Mehrere Daemons oder ein einzelner Serverprozess? Normalerweise reicht ein einzelner primärer Apache-Daemon aus Wenn eine gemeinsame httpd-konfiguration nicht in Frage kommt, müssen mehrere Daemons eingesetzt werden. 10. Juni 2005 Dieter Huth Folie 35

36 Standardkonfiguration Ein einziger httpd-daemon Spezieller Container <VirtualHost> zur Verwaltung der einzelnen Konfigurationen der virtuellen Hosts NameVirtualHost IP-Adresse <VirtualHost IP:port> ServerName hostname DocumentRoot pfad ErrorLog pfad TransferLog pfad </VirtualHost> 10. Juni 2005 Dieter Huth Folie 36

37 <VirtualHost> NameVirtualHost IP-Adresse <VirtualHost IP:port> ServerName hostname DocumentRoot pfad ErrorLog pfad TransferLog pfad usw. </VirtualHost> 10. Juni 2005 Dieter Huth Folie 37

38 Übung Konfigurieren Sie bitte für Ihren lokalen Webserver den namensbasierten virtuellen Host Da diese Adresse nicht im DNS eingetragen ist, wird der Link auch bei korrekter Konfiguration nicht funktionieren! 10. Juni 2005 Dieter Huth Folie 38

39 Server-Side-Includes Eine Seite mit Server-Side-Includes (SSI) ist normalerweise eine HTML-Seite mit eingebetteten Befehlen an den Webserver Die Seite wird zunächst nach SSI-Befehlen abgesucht Diese Befehle werden ausgeführt Der neue Inhalt wird gesendet 10. Juni 2005 Dieter Huth Folie 39

40 Modul mod_include in der Programmdatei? httpd -l SSI-Konfiguration 10. Juni 2005 Dieter Huth Folie 40

41 Handler AddHandler server-parsed.shtml Auf jeden Fall vermeiden,.htm- bzw..html- Dateien als SSI-Erweiterung zu nutzen. Beinträchtigung der Server-Performance AddType text/html.shtml Festlegung, dass es sich bei.shtml-dateien auch um HTML-Dateien handelt 10. Juni 2005 Dieter Huth Folie 41

42 SSI-Parsing im Verzeichnis Options +Includes Im Container einsetzbar 10. Juni 2005 Dieter Huth Folie 42

43 Befehle SSI-Befehle werden als Kommentare in HTML-Seiten eingefügt: <!--#Befehl Argument1=Wert... --> config selbstdefinierte Fehlermeldung: config errmsg="fehlermeldung" Ausgabeformat für Angaben zur Dateigröße config sizefmt=["bytes" "abbrev"] 10. Juni 2005 Dieter Huth Folie 43

44 Befehle config Wahl eines Anzeigeformats für Zeitangaben: config timefmt=format-string z.b.: <!--#config timefmt="%c" --> liefert: 06/27/02 14:41: Juni 2005 Dieter Huth Folie 44

45 Befehle echo Ausgabe der Variablen echo var="variablenname" Beispiel: <!--#config timefmt="%m/%d/%y" --> <!--#echo var="date_local" --> liefert: 06/27/ Juni 2005 Dieter Huth Folie 45

46 Befehle exec Ausführung eines externen Programms exec cgi="pfad/zum/cgi/programm" Wenn als Wert der Options-Direktive IncludesNOEXEC angegeben wurde, kann dieser Befehl nicht benutzt werden. 10. Juni 2005 Dieter Huth Folie 46

47 Befehle fsize gibt die Größe einer Datei aus fsize file="pfad" oder fsize virtual="url" flastmod Datum der letzten Änderung einer Datei flastmod file="pfad" oder flastmod virtual="url" 10. Juni 2005 Dieter Huth Folie 47

48 Befehle include fügt den Text eines Dokuments in das aktuelle SSI-Dokument ein include file="pfad" oder include virtual="url" printenv Listing aller vorhandenen Variablen und ihrer Werte printenv 10. Juni 2005 Dieter Huth Folie 48

49 Befehle set Festlegung des Wertes einer benutzerdefinierten Variablen set var="variablenname" value="wert der Variablen" 10. Juni 2005 Dieter Huth Folie 49

50 Übung Bitte erzeugen Sie die nebenstehende Ausgabe: 10. Juni 2005 Dieter Huth Folie 50

51 VHost (named) + SSI NameVirtualHost * <VirtualHost *> DocumentRoot /wampp1/testdoc6/testdoc ServerName pchrz020.hrz.uni-essen.de <Directory /> AddHandler server-parsed.shtml AddType text/html.shtml Options +Includes </Directory> </VirtualHost> 10. Juni 2005 Dieter Huth Folie 51

52 VHost (localhost) + SSI <VirtualHost *> DocumentRoot "/wampp1/htdocs" ServerName localhost </VirtualHost> 10. Juni 2005 Dieter Huth Folie 52

53 CGI-Konfiguration Start einer Anwendung durch den Webserver und Übermittlung des erzeugten Outputs Das Common-Gateway-Interface (CGI) definiert einen Satz an standardisierten Methoden, mit denen Server die vom Client erhaltenen Eingaben an die externen Anwendungen weiterleiten können. 10. Juni 2005 Dieter Huth Folie 53

54 GET-Methode GET Damit wird der Server aufgefordert, das CGI-Programm /cgi-bin/search.cgi mit den übergebenen Parametern books=cgi auszuführen. 10. Juni 2005 Dieter Huth Folie 54

55 GET-Methode Beispiel Suchmaske: <form name="form1" method="get" action=" class="navtext" type="text" name="q" size="10" value="" /></td> 10. Juni 2005 Dieter Huth Folie 55

56 Vorgehensweise Apache Setzen der CGI-Umgebungsvariablen Ausführen des CGI-Programms CGI-Programm fertig? Parsen des Outputs Erzeugen der HTTP-Header Senden der Header und des CGI-Inhalts 10. Juni 2005 Dieter Huth Folie 56

57 POST-Methode Beispiel im Kontakt-Formular <form action="/cgi-bin/kontakt/confirm.cgi" method="post" name="kontaktform"> Der Client überträgt eine POST-Anforderung an den Server, die an die ACTION adressiert ist und die benutzer-definierten Werte der Variablen in einem kodierten Format enthält. 10. Juni 2005 Dieter Huth Folie 57

58 Vergleich von GET und POST POST Daten im Standardeingabegerät STDIN GET Daten in der Umgebungsvariablen QUERY_STRING In beiden Fällen sind die Daten kodiert und das CGI-Programm muss diese dekodieren. 10. Juni 2005 Dieter Huth Folie 58

59 Server-Variablen Mit dem Beispiel aus ergeben sich alle Umgebungsvariablen Lassen Sie sich das Ergebnis von Ihrem lokalen Webserver anzeigen. Welche Modifikationen des Perl-Skripts sind notwendig? 10. Juni 2005 Dieter Huth Folie 59

60 CGI-Konfiguration des Apache Alias für das CGI-Verzeichnis sollte außerhalb des DocumentRoot- Verzeichnisses liegen! ScriptAlias /alias/ /pfad/zum/cgi/programm/verzeichnis/ auch im <VirtualHost>-Container möglich grundsätzlich nimmt der Apache beliebige Dateinamenserweiterungen 10. Juni 2005 Dieter Huth Folie 60

61 CGI-spezifische Dateinamenserweiterungen 1. Entfernen/Deaktivieren des ScriptAlias 2. Einrichten eines neuen Alias für das CGI-Verzeichnis 3. Definition eines <Directory>-Containers für das CGI-Verzeichnis <Directory /pfad/> Options ExecCGI AddHandler cgi-script.cgi.pl </Directory> 10. Juni 2005 Dieter Huth Folie 61

62 Basic-Authentifizierung host-basierter Authentifizierungsvorgang Zugriffe werden über Host-Namen oder Host-IP-Adressen gesteuert allow-direktive allow from Host1 Host2 Host3... deny-direktive deny from Host1 Host2 Host3... order-direktive order deny, allow allow, deny mutual-failure steuert die Auswertung von allow und deny 10. Juni 2005 Dieter Huth Folie 62

63 Basic-HTTP-Authentifizierung 1. Browser fordert geschützte Datei an 2. Webserver liefert Status 401 und zeigt ein Dialogfeld zur Eingabe von Benutzername und Passwort an 3. Browser fordert geschützte Datei unter Nennung von Userid und Passwort an 4. Webserver führt Authentifizierungsprüfung durch 5. Bei korrekten Daten wird die Seite geliefert 10. Juni 2005 Dieter Huth Folie 63

64 Basic-HTTP-Authentifizierung Nicht für kritische Anwendungen einsetzen, da Passwörter relativ leicht zu dekodieren sind, wenn der Datenstrom abgefangen werden sollte. 10. Juni 2005 Dieter Huth Folie 64

65 Standardmodul mod_auth AuthUserFile-Direktive AuthUserFile Dateiname Name der Textdatei mit den Benutzernamen und Passwörtern Voll qualifizierten Pfad zur Datei angeben AuthGroupFile-Direktive AuthGroupFile Dateiname Name der Textdatei mit der Liste der Benutzergruppen absoluter Pfad zur Gruppendatei 10. Juni 2005 Dieter Huth Folie 65

66 Beispiel 1 Ziel: Benutzername und Passwort erforderlich AccessFileName-Direktive # AccessFileName: The name of the file to # look for in each directory # for access control information. # AccessFileName.htaccess 10. Juni 2005 Dieter Huth Folie 66

67 Beispiel 2 Zu schützendes Verzeichnis: /apachefriends/xampp/htdocs/intern 1. Benutzerdatei mit htpasswd anlegen: C:\apachefriends\xampp\apache\bin> htpasswd -c /apachefriends/xampp/secrets/.htpasswd testnutzer Automatically using MD5 format on Windows. New password: **** Re-type new password: **** Adding password for user testnutzer 10. Juni 2005 Dieter Huth Folie 67

68 Beispiel 3 2. Erstellen einer.htaccess-datei AuthName "Apache Authentification" AuthType Basic AuthUserFile /apachefriends/xampp/secrets/.htpasswd require user testnutzer 10. Juni 2005 Dieter Huth Folie 68

69 Beispiel 4 3. Dateizugriffsrechte festlegen Nur Apache und der Ersteller sollten die Dateien.htaccess und.htpasswd lesen können. 4. Testen Juni 2005 Dieter Huth Folie 69

70 Beispiel Juni 2005 Dieter Huth Folie 70

71 Übung Erweitern Sie dieses Beispiel bitte um die host-basierte Zugriffssteuerung: ein lokaler Nutzer erhält auf jeden Fall den Zugriff externe Nutzer nur unter Kenntnis der Userid-/Passwort-Kombination 10. Juni 2005 Dieter Huth Folie 71

72 Server-Status und Logging Konfigurationsinformationen Modul mod_info LoadModule info_module modules/mod_info.so <Location /server-info> SetHandler server-info Order deny,allow Deny from all Allow from </Location> 10. Juni 2005 Dieter Huth Folie 72

73 Konfigurationsinformationen nur die Serverkonfiguration Kurzübersicht über die vorhandenen Module Konfiguration eines einzelnen Moduls 10. Juni 2005 Dieter Huth Folie 73

74 Statusseiten Modul mod_status LoadModule status_module modules/mod_status.so <Location /server-status> SetHandler server-status Order deny,allow Deny from all Allow from </Location> 10. Juni 2005 Dieter Huth Folie 74

75 Statusseiten Umfang der Statusseiten # ExtendedStatus controls whether Apache # will generate "full" status # information (ExtendedStatus On) or just # basic information (ExtendedStatus # Off) when the "server-status" handler is # called. The default is Off. # ExtendedStatus On 10. Juni 2005 Dieter Huth Folie 75

76 Statusseiten Seite wird alle N Sekunden aktualisiert 10. Juni 2005 Dieter Huth Folie 76

77 Log-Dateien erstellen Common Log Format (CLF) Webserver schreiben hiermit weitgehend einheitliche Log-Dateien, wodurch die Log- Analyse verschiedener Server wesentlich vereinfacht wird. Modul mod_log_config TransferLog-Direktive TransferLog Dateiname " /Pfad/zum/externen/Programm" 10. Juni 2005 Dieter Huth Folie 77

78 Logdateien erstellen Legt den Namen der Log-Datei oder des Programms fest, an die bzw. das die Log-Informationen übermittelt werden sollen. Per Voreinstellung werden Log-Informationen im CLF-Format abgelegt. LogFormat-Direktive LogFormat Format [Spitzname] Vorgabe: LogFormat "%h %l %u %t \"%r\" %s %b" Legt das Format fest 10. Juni 2005 Dieter Huth Folie 78

79 Logdateien erstellen CustomLog-Direktive CustomLog Datei-Pipe Format- oder Spitzname Wie TransferLog ermöglicht diese Direktive die Übertragung von Logging-Informationen in eine Log- Datei oder an ein externes Programm. Es kann jedoch ein angepasstes Log-Format verwendet werden, das als Argument angegeben werden kann. 10. Juni 2005 Dieter Huth Folie 79

80 Logdateien erstellen ErrorLog-Direktive ErrorLog Dateiname Legt den Namen der Log-Datei fest, in der die Fehlermeldungen des Servers protokolliert werden. Wenn Sie keine Fehlermeldungen erstellen wollen: ErrorLog /dev/null 10. Juni 2005 Dieter Huth Folie 80

81 Log-Datei-Analyse Auswertung der Log-Dateien der zentralen Webserver der Uni Duisburg-Essen mit dem Programm Webalizer ( Beispiel: Alternativ mit awstats ( Beispiel: Juni 2005 Dieter Huth Folie 81

82 Log-Wartung rotatelog Dienstprogramm, das Apache mitliefert logrotate ebenfalls von Apache Perl-Module Logfile::Rotate Juni 2005 Dieter Huth Folie 82

83 Ihr Webserver Wie sehen Ihre lokalen Logdateien aus? Bitte greifen Sie gegenseitig auf Ihre lokalen Webserver zu und sehen Sie sich die unterschiedlichen Zeilen in den Logdateien an. 10. Juni 2005 Dieter Huth Folie 83

84 Web-Sicherheit Sicherheitskontrollpunkte: Internet Netzwerk Webserver-Host Betriebssystem Webserver CGI SSI Inhalte 10. Juni 2005 Dieter Huth Folie 84

85 Apache-Sicherheit Alle nicht benutzten Komponenten deaktivieren User- und Group-Direktiven Neue Benutzer und -gruppen erstellen ServerRoot- und log-verzeichnisse schreibend nur für den root-user 10. Juni 2005 Dieter Huth Folie 85

86 Apache-Sicherheit Default-Zugriffsrechte deaktivieren <Directory /> Order deny,allow Deny from all </Directory> Danach: <Directory /pfad/zu/den/webseiten> Order deny,allow Allow from all </Directory> 10. Juni 2005 Dieter Huth Folie 86

87 Apache-Sicherheit Vorrangregelungen durch Nutzer Sollen Benutzer Konfigurationseinstellungen des Servers über die Konfigurationsdateien für einzelne Verzeichnisse (.htaccess) ändern können? Wenn nein: <Directory /> AllowOverride None Options None allow from all </Directory> 10. Juni 2005 Dieter Huth Folie 87

88 Web-Sicherheit Zugriff von Web-Spidern und Robots Suche nach Es darf nur eine einzige /robots.txt auf einer Site geben. Entwicklung sinnvoller Direktiven für Ihre Website 10. Juni 2005 Dieter Huth Folie 88

89 CGI-Risiken Informationslecks Lecks helfen Hackern beim Einbruch in ein System. Ausführung von Systemkommandos über CGI-Anwendungen Verbrauch von Systemressourcen 10. Juni 2005 Dieter Huth Folie 89

90 Sicherheitspolitik Protokollieren Sie alles Halten Sie eine vollständige Kopie Ihrer Website bereit Verwalten Sie Ihre Site von der Konsole des Web-Hosts aus 10. Juni 2005 Dieter Huth Folie 90

91 Secured Socket Layer (SSL) Ziel: Sichere Transaktionen zwischen dem Webserver und dem Web-Kunden Internet: Daten müssen viele Knoten passieren, so dass die Möglichkeit besteht, dass sie bei einem dieser Knoten abgefangen werden. 10. Juni 2005 Dieter Huth Folie 91

92 Secured Socket Layer (SSL) Verschlüsselung bietet den sicheren Mechanismus für den Austausch sensitiver Daten SSL-basierte Transaktion 1. Server sendet Zertifikat an den Client Beispiel: Juni 2005 Dieter Huth Folie 92

93 Secured Socket Layer (SSL) SSL-basierte Transaktion 2. Zertifikat wird mit dem privaten Schlüssel der Zertifizierungsinstanz (CA) verschlüsselt. 3. Client entschlüsselt mit dem öffentlichen Schlüssel 4. Anschliessend wird ein symmetrisches Verfahren verwendet, da es viel schneller ist. 10. Juni 2005 Dieter Huth Folie 93

94 Secured Socket Layer (SSL) Fazit: Die asymmetrische Verschlüsselung (private/öffentliche Schlüssel) wird zur sicheren Übertragung eines zufällig generierten symmetrischen Schlüssels vom Client zum Server verwendet, und dieser Schlüssel wird später für einen schnellen, abgesicherten Kommunikationskanal benutzt. 10. Juni 2005 Dieter Huth Folie 94

95 Secured Socket Layer (SSL) Wegen rechtlicher und bürokratischer Probleme wird SSL nicht direkt vom Apache-Server zur Verfügung gestellt. OpenSSL must be installed into a srclib subdirectory named openssl, obtained from in order to compile mod_ssl. 10. Juni 2005 Dieter Huth Folie 95

96 SSL-Direktiven LoadModule ssl_module lib/apache/libssl.so AddModule mod_ssl.c # Include Mod_ssl server declarations... Include /etc/apache/mod_ssl.conf 10. Juni 2005 Dieter Huth Folie 96

97 mod_ssl.conf (Auszüge) <VirtualHost sp405.power.uniessen.de:443> DocumentRoot "/www/www-data" ServerName sp405.power.uni-essen.de ServerAdmin ErrorLog /var/apache/log/error_log TransferLog /var/apache/log/access_log 10. Juni 2005 Dieter Huth Folie 97

98 mod_ssl.conf (Auszüge) # Enable/Disable SSL SSLEngine on # Dateinamen des Zertifikats für den # Website-Host SSLCertificateFile /etc/apache/ssl.crt/server.crt # Dateiname für den privaten Schlüssels des # Zertifikats SSLCertificateKeyFile / etc/apache/ssl.key/server.key </VirtualHost> 10. Juni 2005 Dieter Huth Folie 98

99 DFN-PCA Policy Certification Authority (PCA) Die Zertifizierungsinstanz für das Deutsche Forschungsnetz Juni 2005 Dieter Huth Folie 99

100 URLs substituieren Errorlog: Auswerten der Anforderungen, die mit einem 404-Statuscode (Not Found) beantwortet werden. Modul mod_rewrite Umformulieren von URLs mit Hilfe entsprechender Regeln. 10. Juni 2005 Dieter Huth Folie 100

101 URLs substituieren URL-Regel Regulärer-Ausdruck-Vergleichsmuster Regulärer-Ausdruck-Substitutionsmuster Beispiel: RewriteRule ^/~([^/]+)/?(.*) /users/$1/$2 [R] Viele Server-Variablen verfügbar 10. Juni 2005 Dieter Huth Folie 101

102 Direktiven RewriteEngine RewriteEngine on off Ein-/Ausschalter für die URL-Rewriting-Enging. Laut Vorgabe sind alle Substitutionen abgeschaltet. RewriteOptions RewriteOptions Option1 Option2... Angabe von Optionen, die das Verhalten der Rewriting-Engine ändern. 10. Juni 2005 Dieter Huth Folie 102

103 Direktiven RewriteRule RewriteRule Suchmuster Substitutionsstring [Flag-Liste] Definition von Substitutionsregeln, die zwei Argumente haben müssen. 10. Juni 2005 Dieter Huth Folie 103

104 URL-Layout Zweck: Eine URL-Anforderung erweitern oder zu einer anderen URL umleiten Beispiele: Benutzer-Stammverzeichnisse auf neue Webserver umleiten RewriteRule ^/~(.*) [R,L] Flag R: externe URL zurücksenden Flag L: keine andere Regel mehr anwenden 10. Juni 2005 Dieter Huth Folie 104

105 Zeitabhängige URLs RewriteEngine on RewriteCond %{TIME_HOUR}%{TIME_MIN} >0700 RewriteCond %{TIME_HOUR}%{TIME_MIN} <1900 RewriteRule ^foo\.html$ foo.tag.html RewriteRule ^foo\.html$ foo.nacht.html Hier wird zwischen 7 und 19 Uhr der Inhalt von foo.tag.html und während der übrigen Zeit der von foo.nacht.html unter der URL foo.html angeboten. 10. Juni 2005 Dieter Huth Folie 105

106 Weitere Beispiele Abwärtskompatibilität RewriteRule ^foo\.html$ bar.html Auch mit der alten Adresse foo.html erreicht man hiermit die neue Adresse bar.html Übergang zwischen HTML und CGI# RewriteRule ^foo\.html$ foo.cgi [T=application/x-httpd-cgi] Eine Anforderung von foo.html wird in eine von foo.cgi umgewandelt. 10. Juni 2005 Dieter Huth Folie 106

107 Aktuelles Beispiel für uni-duisburg-essen.de RewriteEngine On RewriteCond %{HTTP_REFERER}!^$ RewriteCond %{HTTP_REFERER}! ^ [NC] RewriteCond %{HTTP_REFERER}! ^ [NC] RewriteCond %{HTTP_REFERER}! ^ [NC] RewriteRule "^$" [R,L] Was bewirkt diese Regel? 10. Juni 2005 Dieter Huth Folie 107