Seite 21-1 21 Apache-Webserver 21 Apache-Webserver... 1 21.1 Was ist ein Webserver?... 2 21.2 Aufbau des Apache-Webservers... 2 21.3 Verzeichnisse... 3 21.4 Installieren und Starten von Apache... 3 21.5 Konfigurieren von Apache mit Webmin... 4 21.6 Anlegen eines Webservers... 5 21.7 Zugriffsverwaltung... 5 21.8 Auswertung des Server-Zugriffs...7 21.9 Zugriff auf den Webserver via Internet... 8 21.10 HTML-Editoren... 9 21.11 Absicherung des Servers... 9 21.12 Virtuelle Hosts... 9 21.12.1 Namensbasierter virtueller Host... 9 21.12.2 IP-basierter virtueller Host... 9 21.12.3 Einrichten eines namensbasierten virtuellen Hosts... 10 21.13 Groß- und Kleinschreibung in URLs ignorieren... 10 21.14 Individuelle Fehlermeldungen... 11 21.15 Anzeigen des Server-Status... 11 21.16 Tippfehler abfangen... 12 21.17 HTTP-Statuscodes... 13 21.18 Server Side Includes... 13 21.19 Aufgaben... 14 21.20 Apache Forrest...14 Dies Kapitel bezieht sich zum Teil noch auf den alten Apache-Webserver. Bei der Einführung von Apache2 hat sich einiges geändert, das hier eventuell noch nicht eingepflegt ist.
Seite 21-2 21.1 Was ist ein Webserver? Ein Webserver ist ein Programm, das auf http- Anfragen von Clients antwortet. Apache ist ein Standard-Webserver mit weiter Verbreitung. Der Name ist aus a patchy server (ein verbesserter Server) entstanden. Der Server ist sowohl in einer Linux- als auch in einer Windows-Version verfügbar. Installation: Paket apache2 aus der Serie Netzwerk zusätzlich ist gegebenenfalls die Installation von Modulen erforderlich. Die Namen von Modulen fangen mit mod_ an, z.b. mod_ssl (Verschlüsselung), mod_perl oder mod_php4. Informationen zu Apache und den Modulen: http://www.apache.org, http://modules.apache.org, http://www.tldp.org/howto/apache-overview-howto.html. 21.2 Aufbau des Apache-Webservers Der Apache-Webserver läuft schnell und stabil, weil beim Start des Servers zunächst ein Vater-Prozess gestartet wird. Dieser erzeugt dann child-prozesse, die die eigentlichen Anfragen der Clients bearbeiten. Stürzt ein child-prozess ab, so wird der Vater-Prozess nicht beeinträchtigt. Die zentrale Konfigurationsdatei /etc/httpd/httpd.conf wird bei der Installation von SuSE-Linux bereits vorkonfiguriert und muss für den Betrieb eines minimalen WebServers nicht editiert werden. Die Datei besteht aus den drei Hauptabschnitten: global environment: grundlegende Einstellungen main server configuration: Standard-Einstellungen für Serveranfragen Virtual hosts: Definition von virtuellen hosts, um mehrere Internetpräsenzen (Domains) verwalten zu können
Seite 21-3 Eine weitere Konfigurationsdatei ist access.conf für die Konfiguration des Zugriffs. 21.3 Verzeichnisse Nach der Installation von Apache befindet sich folgende Verzeichnisstruktur auf dem Rechner: bin cgi-bin conf htdocs icons include man logs ausführbare Programme, insbesondere apachectl, das den Server startet und anhält Perl-Scripte Konfigurationsdateien, insbesondere httpd.conf. Außerdem liegen hier Dateien mit der Endung *.default, die Standard-Einstellungen enthalten, bzw. mit denen die Standard- Einstellungen wieder hergestellt werden können. In älteren Apache-Versionen wurden srm.conf und access.conf verwendet; diese Dateien sind in aktuellen Versionen ohne Funktion. hier sollten die html-dokumente abgespeichert werden Grafiken, die vom Webserver genutzt werden geschützte Ablage von Dateien, die dann in Perl oder PHP eingebunden werden Hilfe-Dateien Der Zugriff auf den Server wird in access_log protokolliert und auftretende Fehler in error_log. 21.4 Installieren und Starten von Apache Apache ist in SuSE-Linux enthalten und wird mit YAST installiert. Der Apache-Server wird über die Konsole mit dem Befehl rcapache start gestartet. Auf der Konsole erscheint done, wenn der Server erfolgreich gestartet wurde. Der Status des Servers kann mit rcapache status abgefragt werden. Soll Apache nur die Konfigurationsdatei neu einlesen, so reicht der Befehl rcapache reload. Jetzt kann im Browser (Konquerer) ein Testbild des neuen Servers angesehen werden: http://ip-adresse (Zur Erinnerung: Die IP-Adresse des lokalen Rechners kann mittels ifconfig abgefragt und z.b. mit ifconfig eth0 inet 192.168.0.1 gesetzt werden).
Seite 21-4 Soll Apache bei jedem Rechnerstart mitgestartet werden, so muss die entsprechende Datei des Runlevels erweitert werden. Dies erfolgt z.b. im YaST- Kontrollzentrum mit dem Runlevel-Editor. 21.5 Konfigurieren von Apache mit Webmin Webmin ist ein grafisches Tool, mit dem Apache konfiguriert werden kann, um nicht direkt die Konfigurationsdateien mit einem Editor bearbeiten zu müssen. Webmin kann bei www.webmin.com kostenlos heruntergeladen werden (ca. 6 MB). Wichtig ist, dass eine rpm-datei heruntergeladen wird. Aus dieser kann Webmin dann mit rpm -ivh webmin-1.060-1.noarch.rpm installiert werden. Auf der Konsole erscheint dann die Meldung Webmin install complete. Außerdem wird die Adresse des Servers ausgegeben, z.b. http://localhost:10000. Webmin ist also auf dem lokalen Rechner unter Port 10.000 zu erreichen. Alternativ kann die Datei im Konquerer angeklickt werden. Dann startet ein Installationsprogramm, das die Adresse von Webmin ausgibt. Gibt man diese Adresse im Browser ein, so erscheint Webmin. In Webmin gibt es eine Vielzahl von Symbolen. Unter Server befindet sich der Apache-Webserver. Beim ersten Start werden die Einstellungen untersucht. Durch Klicken auf Configure konfiguriert Webmin die installierten Module automatisch.
Seite 21-5 21.6 Anlegen eines Webservers Jetzt soll ein eigener Webserver angelegt werden. Hierzu wird ein virtueller Host eingerichtet: Der Server-Name ist z.b. Berndt, als Adresse wird die IP-Adresse des Computers eingetragen. Gibt es beim Zugriff auf den Server Probleme, so ist zu überprüfen, ob der Proxy (Konquerer/Einstellungen/Proxy) deaktiviert ist. Wenn ein html-dokument index.html genannt wird und sich im Verzeichnis DocumentRoot befindet, so wird diese beim Zugriff auf den Server automatisch in den Browser geladen. 21.7 Zugriffsverwaltung Der Zugriff auf einzelne Seiten soll eingeschränkt werden. Dazu muss in der httpd.conf eingetragen werden, dass ein Überschreiben der Zugriffsrechte überhaupt möglich sein soll (Das geht auch mit Webmin, unter Konfigurationsdateien editieren): # This controls which options the htaccess files... AllowOverride All Außerdem muss dem Webserver der Name der Dateien bekannt gegeben werden, in denen nach Zugriffsbeschränkungen gesucht werden soll. In der Datei /etc/httpd.conf wird dazu eingetragen: AccessFileName.htaccess Jetzt muss noch eine Datei angelegt werden, die für die einzelnen Nutzer Passworte hinterlegt. Diese Datei steht aus Sicherheitsgründen nicht in dem Verzeichnis mit den html-dokumenten, sondern z.b. in /usr/local/httpd. Die Datei muss mit einem Passworterstellungsprogramm erzeugt werden, da die einzelnen Passworte
Seite 21-6 verschlüsselt gespeichert werden. Das Programm heißt htpasswd 1 und liegt in usr/bin/. Auf der Konsole wird ein neuer User angelegt: cd /usr/bin/./htpasswd2 -c../.ht_nutzer Klaus wechselt in das Verzeichnis startet htpasswd. -c bedeutet, dass eine neue Datei angelegt wird, beim nächsten anzulegenden Nutzer entfällt das -c. Die Datei, in der die Passwörter gespeichert werden heißt.ht_nutzer. Der Punkt vor dem Dateinamen sorgt dafür, dass die Datei verborgen wird. Der neue Nutzer heißt Klaus. Das Programm fragt jetzt nach dem Passwort für Klaus, das verschlüsselt in der angegebenen Datei gespeichert wird. Im letzten Schritt muss in oder oberhalb von dem zu schützenden Verzeichnis eine Datei mit dem Namen.htaccess abgelegt werden. Beim Zugriff auf den Server wird ab jetzt immer nachgesehen, ob sich eine solche Datei in dem Verzeichnis oder darüber befindet. Mit einem Editor wird die Datei angelegt und editiert: AuthType Basic AuthName Gesperrter Bereich AuthUserFile /usr/.ht_nutzer Require valid-user Authentifizierung, z.z. wird von Browsern nur Basic unterstützt Text, der im Dialogfenster erscheinen soll Pfad zur Passwortdatei besagt, dass der sich anmeldende Nutzer in der Passwortdatei aufgelistet sein muss. Mit diesem Verfahren können auch Gruppen zur Nutzung gesperrter Bereiche zugelassen werden. Darauf soll hier aber nicht eingegangen werden. Im Internet sind htaccess-generatoren verfügbar, die eine Unterstützung beim Anlegen der htaccess- Dateien bieten: http://masterbootrecord.de/doc/htaccess.php3 http://www.internet-magazin.de/common/tools/tools.php 1 Bei älteren SuSE-Distributionen heißt das Programm htpasswd
Seite 21-7 Sofern eine Authentifizierung realisiert wurde, wird oftmals eine Anzeige des Nutzernamens auf der Seite gewünscht, zum Beispiel zur Begrüßung. Hierzu kann die Umgebungsvariable REMOTE_USER verwendet werden. In einer Server-Side Include-Datei (SSI) sieht das zum Beispiel so aus: Willkommen <!--#echo var= REMOTE_USER --> In einem CGI-Skript entsprechend: my $username = $ENV{REMOTE_USER}; 21.8 Auswertung des Server-Zugriffs Jeder Zugriff auf den Webserver wird automatisch protokolliert. In der Datei access_log wird notiert, wer auf den Server zugegriffen hat. Hier wird abgespeichert, wer wann zugegriffen hat, welche Dokumente wie oft angefordert wurden und welche Dokumente nicht gesendet werden konnten (Lade die Datei in einen Editor). In der Datei error_log werden Fehler beim Zugriff auf den Server protokolliert. Um den Zugriff auf den Web-Server zu analysieren, stehen Tools bereit, um die LogDateien auszuwerten. Der Umfang der Informationen, die gespeichert werden sollen, kann in der Datei /etc/httpd/httpd.conf eingestellt werden. Außerdem kann die Formatierung der Log- Datei verändert werden, so dass eine automatisierte Auswertung in Anwendungsprogrammen möglich ist. Ein Beispiel für Software zum Analysieren von Log-Dateien ist Webalizer, das in der SuSE-Distribution enthalten ist. Nach der Installation muss in der Konfigurationsdatei webalizer.conf der Pfad zur Log-Datei access_log eingetragen werden:
Seite 21-8 LogFile/usr/local/httpd/logs/access_log Der Zugriff auf Webalizer erfolgt über Webmin. Das Programm ist menugeführt und weitgehend selbsterklärend. 21.9 Zugriff auf den Webserver via Internet Um über das Internet auf den Webserver zugreifen zu können, benötigt man eine IP, die vom Internet aus angesprochen werden kann. Beim Einwählen über Modem wird dem Computer vom Provider eine IP zugeteilt. Da sich diese IP aber bei jedem Einwahlvorgang ändert, muss für den Zugriff auf den Webserver die aktuelle IP bekannt sein. Hierfür kann ein dynamischer DNS-Server benutzt werden. Ein Hilfsprogramm auf dem Computer teilt dem dynamischen DNS-Server bei jeder Einwahl die zugeteilte IP mit. Ein Zugriff auf den Webserver erfolgt dann über den dynamischen DNS-Server. Es gibt mehrere dynamische DNS-Server, bei denen man sich kostenlos registrieren kann, zum Beispiel: www.nerdcamp.com www.dyndns.org Wenn man sich bei nerdcamp registriert und den Namen HansWurst ausgesucht hat, so erfolgt der Zugriff auf den Webserver über die Adresse http://www.hanswurst.nerdcamp.com. Das Hilfsprogramm, das dem dynamischen DNS-Server die aktuelle IP mitteilt, wird auf der Server-Homepage zum Download angeboten.
Seite 21-9 21.10 HTML-Editoren Die SuSE-Distribution enthält mehrere HTML-Editoren, die sich hinsichtlich Leistungsumfang und Benutzerführung deutlich unterscheiden. Ansehen sollte man sich Quanta und Bluefish. Ein Vergleich der verschiedenen Editoren befindet sich auf der SuSE-Homepage im Support-Bereich. 21.11 Absicherung des Servers Ein Webserver gehört zu den Programmen eines Netzwerkes, die das Hauptziel von Angreifern sind. Eine Zusammenfassung der nötigen Maßnahmen zum Absichern eines Webservers findet sich auf der SuSE-Homepage im Support-Bereich. 21.12 Virtuelle Hosts Bei Apache werden zwei Arten von virtuellen Hosts unterschieden: 21.12.1 Namensbasierter virtueller Host Der Webserver hat zwar nur eine externe IP, ist aber unter verschiedenen Namen erreichbar. Die ist eine typische Konfiguration eines Webhosters. Auf einem einzigen Server sind mehrere Hundert Kundenseiten abgelegt, die sich durch ihre Namen unterscheiden. Alle Seiten werden jedoch über die gleiche IP angesprochen. 21.12.2 IP-basierter virtueller Host Der Webserver besitzt mehrere externe IPs. Die angezeigten Seiten sind gleich, egal über welche IP er auch angesprochen wird.
Seite 21-10 21.12.3 Einrichten eines namensbasierten virtuellen Hosts Da diese Varianter von hoher praktischer Bedeutung ist, wollen wir im Unterricht einen solchen Server einrichten. Beim Durchstöbern der /etc/apache2/httpd.conf findet man bereits eine hilfreiche Vorkonfiguration, die nur noch angepasst werden muss: ServerNane 127.0.0.1 NameVirtualHost * <VirtualHost *> ServerName Horst.clp DocumentRoot /src/www/htdocs/horst </VirtualHost> <VirtualHost *> ServerName Uschi.clp DocumentRoot /src/www/htdocs/uschi </VirtualHost> Der * in den Regeln bedeutet, dass der virtuelle Host an sämtliche IPs des Computers gebunden wird. Zur Überprüfung der Server-Konfiguration bietet sich der Befehl httpd -S an, mit dem eine Liste der virtuellen Hosts ausgegeben wird. Bei einer Anfrage an diesen Server muss für eine Namensauflösung gesorgt werden! 21.13 Groß- und Kleinschreibung in URLs ignorieren Diese Aufgabe ist sehr einfach umzusetzen. Es muss lediglich das Modul modspelling installiert werden. In der /etc/apache2/httpd.conf ist dann die Zeile CheckSpelling On einzufügen bzw. auszukommentieren.
Seite 21-11 21.14 Individuelle Fehlermeldungen Die vom Apache ausgegebenen Fehlermeldungen sind standardisiert. Die Meldung 404 bedeutet zum Beispiel, dass das Dokument nicht gefunden wurde. Sofern eine selbst gestaltete Fehlermeldung ausgegeben werden soll, so müssen entsprechende Error-Dokumente erstellt werden. In der /etc/apache2/httpd.conf muss dann ein Verweis auf die entsprechende Datei gesetzt werden: ErrorDocument 404 /errors/dateinichtgefunden.html Somit ist es möglich, Fehlermeldungen zu erstellen, die dem Layout der Seite angepasst sind. Problematisch ist allerdings, dass viele Leute den falschen Browser verwenden. Der Internet Explorer zeigt oftmals eigene Standardfehlermeldungen an. Warum auch immer, ersetzt der Internet Explorer alle Fehlermeldungs-Dateien mit einer Größe von weniger als 512 Bytes durch eine eigene Standardmeldung. Die Dateien müssen also vergrößert werden; zum Beispiel mit Kommentaren. Es wäre auch möglich, im Explorer unter /Extras/Internetoptionen/Erweitert die Option Kurze HTTP- Fehlermeldungen anzeigen zu setzen, wobei man allerdings wohl kaum davon ausgehen kann, das jeder mögliche Besucher einer Seite das auch getan hat. 21.15 Anzeigen des Server-Status Oftmals ist es hilfreich, den Status des Servers mit einem Browser abfragen zu können. Dies ist sehr einfach umsetzbar:
Seite 21-12 <Location /server-status> SetHandler server-status </Location> ExtendedStatus On Sofern zusätzlich der ExtendedStatus gesetzt wird, erscheint eine deutlich ausführlichere Ausgabe. Die Ausgabe des Ergebnisses erfolgt mit einem Browser: http://serveradresse/server-status Damit diese Ausgabe funktioniert, muss das Modul mod_status aktiviert sein, was aber in der Regel bereits bei der Standard-Konfiguration der Fall ist. 21.16 Tippfehler abfangen Bestimmte Bezeichnungen in URLs sorgen immer wieder für Tippfehler. Sofern diese bekannt oder vorherzusehen sind, können sich abgefangen werden. Nehmen wir als Beispiel das Verzeichnis http://bbst.clp/support. Hier ist zu erwarten, das versucht werden wird, das Verzeichnis über http.//www./bbst.clp/support zu erreichen. Damit die richtige Seite trotzdem erreicht wird, verwenden wir folgende redirect-anweisung: RedirectMatch ^[ss]upport/ http://support.bbst.clp/ Außerdem könnte jemand support nur mit einem p schreiben: RedirectMatch ^[ss]up?ort/ http://support.bbst.clp/ Wer in dieses Thema tiefer einsteigen will, sollte sich mit regulären Ausdrücken beschäftigen. Die Möglichkeiten sind vielfältig!
Seite 21-13 21.17 HTTP-Statuscodes Eine kurze Auswahl der http-statuscodes, also der Meldungen, die der Browser bei bestimmten Ereignissen ausgibt. Aufgelistet sind hier nur die Meldungen für clientseitige Fehler. Darüber hinaus sind auch weitere Meldungen standardisiert. Code Beschreibung 400 Anfrage nicht lesbar 401 Client hat keine Leserechte 403 Verboten 404 Dokument nicht gefunden 410 Nicht mehr vorhanden 21.18 Server Side Includes SSI ist eine einfache Methode um dynamische Webseiten zu erzeugen. Der Webserver muss so konfiguriert werden, dass SSI zugelassen wird. Dazu muss in der /etc/apache2/httpd.conf der Parameter Options +Includes gesetzt werden. Alternativ kann das auch in einer htaccess-datei erfolgen. Damit die SSI-Befehle vom Parser auch ausgeführt werden, muss noch eine Dateiendung definiert werden, auf die der Parser reagiert (Das ist bei PHP genauso!): AddType text/html.shtml AddOutputFilter INCLUDES.shtml Die Endung shtml ist üblich, kann aber auch nach eigenen Vorstellungen verändert werden. Es ist unbedingt davon abzuraten, hier die Endung htm oder html anzugeben, da dies die Performance des Webservers deutlich reduzieren würde. In Vorbereitung
Seite 21-14 21.19 Aufgaben 1. Ein Server mit mehreren virtuellen Hosts erhält eine Anfrage, zu der kein definierter virtueller Host passt. Was passiert? 2. Provoziere verschiedene Fehler. Lasse dir die Standard-Fehlermeldungen anzeigen und ersetze diese dann durch individuell gestaltete. 3. Überprüfe, ob das Modul mod_status aktiviert ist. Verändere die Serverkonfiguration, so dass der Server-Status mittels Browser abgefragt werden kann. Welche Informationen erscheinen dabei? Eine sehr hilfreiche Quelle für Tipps und Tricks ist insbesondere das Apache Kochbuch aus dem O'Reilly-Verlag. 21.20 Apache Forrest in Vorbereitung Literaturhinweise zu Forrest: 2 3 4 2 3 4 http://www.gui-design.de/ak/technische_dokumentation_forrest_akisys.pdf http://www.holzem.de/computer/website/index.html http://forrest.apache.org/