Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- open:it:apache [2024/07/12 15:23] – [PHP] k@i
+++ open:it:apache [2026/04/26 17:21] (aktuell) – [FTP-Zugang] k@i
@@ Zeile 1: / Zeile 1: @@
 ====== Apache Web-Server ======
-OS: Debian 11
 ===== Vorbereitung =====
@@ Zeile 6: / Zeile 5: @@
   - [[open:it:net#firewall|Firewall einrichten & aktivieren]]
   - [[open:it:ssh|SSH-Zugang einrichten]]
+  - [[open:it:mysql|MySQL-Datenbank]]
+  - [[open:it:php|PHP einrichten]]
   * https://httpd.apache.org/docs/2.4/
   * https://wiki.ubuntuusers.de/Apache_2.4/
   * https://www.digitalocean.com/community/tutorials/how-to-install-the-apache-web-server-on-ubuntu-20-04
 ===== Installation =====
   sudo apt install apache2
@@ Zeile 15: / Zeile 17: @@
   sudo systemctl status apache2
+Verzeichnis für Webseiten anlegen.
+  sudo mkdir /var/www/sites
+Es sollten hier keine ACL-Rechte vergeben sein. ggf. löschen (kein + am Ende > ls -l):
+  sudo setfacl -bR /var/www/sites
+Eine Gruppe für alle User der Webseiten erstellen
+  sudo groupadd web
+Die der Apache-User muss in dieses Gruppe aufgenommen werden
+  sudo usermod -aG web www-data
+Betroffene User in die Gruppe aufnehmen
+  sudo usermod -aG web <USER>
+Rechte vergeben
+  sudo chown -R www-data:web /var/www/sites
+  sudo find /var/www/sites -type d -exec chmod 2775 {} \;
+  sudo find /var/www/sites -type f -exec chmod 664 {} \;
+Testen, ob nur root Rechte auf alle Ebenen hat (Muss sein)
+  namei -l /var/www/sites/
+==== Firewall ====
 [[open:it:net#firewall|Firewall einrichten]] \\
-Firewall-Freigabe für Webseiten
+Freigabe für Webseiten
   sudo ufw allow 80/tcp
-Firewall-Freigabe für Webseiten verschlüsselt
+Firewall-Freigabe für verschlüsselte Webseiten
   sudo ufw allow 443/tcp
-Verzeichnis für Webseiten anlegen.
-  sudo mkdir /var/www/sites
-Default-Einstellungen für die Webseiten-Verzeichnisse mit ACL. www-data wird als User & Gruppe vom Apache-Webbrowser genutzt. Wenn ein <FTPUSER> Daten auf den Server hochlädt, behält die Gruppe www-data und somit der Apache-Webbrowser alle erforderlichen Zugriff-Rechte um in diesem Bereich handeln zu können.
-  sudo setfacl -dm g:www-data:rwx /var/www/sites/
-Den Main-User in die Gruppe www-data aufnehmen, damit er Schreibrechte im Bereich der HTML-Seiten hat.
-  sudo usermod -aG www-data <SUDO-USER>
 ===== FTP-Zugang =====
-  sudo apt install vsftpd
-  sudo nano /etc/vsftpd.conf
+Der FTP-Zugang sollte nur als SFTP zugelassen werden und wird konfiguriert über [[ssh|SSH-Verbindungen]].
+Soll ein Kunde/Anwender eingeschränkte Rechte für eine oder mehrere Webseiten erhalten, kann dies wie folgt eingerichtet werden. \\
+Anwender Y => <ANY>
+User anlegen
+  sudo useradd -M -s /usr/sbin/nologin <ANY>
+Passwort vergeben
+  sudo passwd <ANY>
+Chroot-Verzeichnis anlegen
+  sudo mkdir -p /sftp-chroot/<ANY>
+  sudo chown root:root /sftp-chroot
+  sudo chmod 755 /sftp-chroot
-  local_enable=YES
+  sudo chown root:root /sftp-chroot/<ANY>
-  anonymus_enable=NO
-  write_enable=YES
-  sudo systemctl reload vsftpd
+  sudo chmod 755 /sftp-chroot/<ANY>
-FTP-User anlegen - Namen festlegen. Der Zugriff für den <FTPUSER> wird auf den u.a. Bereich eingeschränkt, das gilt auch für den SSH-Zugriff über die Shell. Der o.a. <SUDO-USER> sollte daher __nicht__ hier verwendet werden.
+  sudo mkdir /sftp-chroot/<ANY>/webseite1
+Einbinden
+  sudo mount --bind /var/www/sites/<WEBSEITENDATEIEN> /sftp-chroot/<ANY>/webseite1
-  sudo adduser <FTPUSER> --no-create-home
+Dauerhaft machen
-FTP-User in die Apache-Gruppe aufnehmen
+  sudo nano /etc/fstab
-  sudo usermod -aG www-data <FTPUSER>
+  /var/www/sites/<WEBSEITENDATEIEN> /sftp-chroot/<ANY>/webseite1 none bind 0 0
+Rechte vergeben
+  sudo usermod -aG web <ANY>
+  sudo usermod -s /usr/sbin/nologin <ANY>
+SSH konfigurieren
   sudo nano /etc/ssh/sshd_config
-  Match User <FTPUSER>
+  Match User <ANY>
-    X11Forwarding no
-    AllowTcpForwarding no
-    PermitTTY no
-    ForceCommand internal-sftp
-    ChrootDirectory /var/www/
     PasswordAuthentication yes
+    PubkeyAuthentication no
+    ChrootDirectory /sftp-chroot/<ANY>
+    ForceCommand internal-sftp -d /web
+    AllowTcpForwarding no
+    X11Forwarding no
-  sudo systemctl reload ssh
+  sudo sshd -t
+  sudo systemctl restart ssh
 ===== Webseiten & virtueller Host =====
-Verzeichnis für die HTML-Daten über die Shell anlegen
+Verzeichnis für die HTML-Daten anlegen
-  sudo mkdir /var/www/sites/KSPI.DE
+  sudo mkdir /var/www/sites/BLUEGNU.DE
-  sudo chmod -R 775 /var/www/sites/KSPI.DE
 Die Programm-Dateien können dann mit einem FTP-Programm übertragen werden.
-Je nach Anwendungsfall ist es sinnvoll sensible Daten außerhalb des direkten Webseitenzugriffs und in andere Verzeichnisse zu platzieren. Der Apache-Webbrowser (User www-data) muss Zugriff darauf haben -> Z.B. im Verzeichnis /var/www/data/.... Das muss über die Konfiguration der jeweilige Webseite definiert werden. Z.B. bei Nextcloud über die ...config/config.php
+Je nach Anwendungsfall ist es sinnvoll sensible Daten außerhalb des direkten Webseitenzugriffs und in andere Verzeichnisse zu platzieren. Der Apache-Webbrowser (User www-data) muss Zugriff darauf haben -> Z.B. im Verzeichnis /var/data/.... Das muss über die Konfiguration der jeweilige Webseite definiert werden. Z.B. bei Nextcloud über die ...config/config.php
-  sudo mkdir /var/www/data/
+  sudo mkdir /var/data/
-Auch hier kann man wie bereits im Verzeichniss /var/www/sites/ den Bereich für die Gruppe __www-data__ per Default mit Rechten versehen.
+Für dieses Verzeichnis sollten die gleichen Zugriffsrechte konfiguriert sein, wie für das Verzeichnis /var/www/sites
-  sudo setfacl -dm g:www-data:rwx /var/www/data/
-Alternativ:
-  sudo chown -R www-data:www-data /var/www/data/
-und
-  sudo chmod -R 775 /var/www/data/
 Apache-Konfiguration virtueller Host der Domain
-  sudo nano /etc/apache2/sites-available/KSPI.DE.conf
+  sudo nano /etc/apache2/sites-available/BLUEGNU.DE.conf
   <VirtualHost *:80>
-    ServerName KSPI.DE
+    ServerName BLUEGNU.DE
-    ServerAdmin mail@KSPI.DE
+    ServerAdmin email@BLUEGNU.DE
-    DocumentRoot /var/www/sites/KSPI.DE
+    DocumentRoot /var/www/sites/BLUEGNU.DE
     ErrorLog ${APACHE_LOG_DIR}/error.log
     CustomLog ${APACHE_LOG_DIR}/access.log combined
-    <Directory /var/www/sites/KSPI.DE>
+    <Directory /var/www/sites/BLUEGNU.DE>
       Options Indexes FollowSymLinks MultiViews
       AllowOverride All
@@ Zeile 93: / Zeile 130: @@
     </Directory>
   </VirtualHost>
-Beim Erstellen der Let's-Encrypt-Zertifikate gab es Probleme mit dem ServerAlias "www....". Daher wurde hier auf die Einstellung des ServerAlias verzichtet. Es ist möglich, die www.<DOMAIN> als eigenständige Subdomain zu verarbeiten (s.u.) und dafür eine eigenes Zertifikat zu erstellen.  Für Documentroot wird das selbe Verzeichnis angegeben.
 Virtuellen Host im Apache-Web-Server registrieren
-  sudo a2ensite KSPI.DE.conf
+  sudo a2ensite BLUEGNU.DE.conf
 Defaultseite deaktivieren. Dadurch wird erste Domain (nach Alphabet) zur Defaultseite, sollte z.B. nur die Server-IP-Adresse über einen Webbrowser aufgerufen werden, oder die per DNS hierhin umgeleitete Domain nicht zu finden sein.
   sudo a2dissite 000-default.conf
-Alternativ kann eine permanente Umleitung in diese Datei geschrieben werden, um eine bestimmte Domain aufzurufen. Der **ServerName** der umgeleiteten Domain muss dem Domainnamen, inkl. Subdomain, entsprechen, die umgeleitet werden soll.
+Alternativ kann eine permanente Umleitung in diese Datei geschrieben werden, um eine bestimmte Domain aufzurufen.
   <VirtualHost *:80>
-    ServerName <domain>.de
+    RedirectPermanent / https://duckduckgo.de/
-    RedirectPermanent / https://bluegnu.de/
   </VirtualHost>
 Hostname und Fully-Qualified Host Name (FQHN) festlegen
-  sudo hostnamectl set-hostname server.KSPI.DE
+  sudo hostnamectl set-hostname server.BLUEGNU.DE
 Einstellungen für den Apacheserver testen
   sudo apache2ctl configtest
@@ Zeile 114: / Zeile 151: @@
   sudo nano /etc/hosts
-.0.1.1 server.KSPI.DE server
+.0.1.1 server.BLUEGNU.DE server
 .0.0.1 localhost
@@ Zeile 128: / Zeile 165: @@
 Simple HTML-Datei
-  sudo nano /var/www/sites/KSPI.DE/index.html
+  sudo nano /var/www/sites/BLUEGNU.DE/index.html
   <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
@@ Zeile 143: / Zeile 180: @@
   </html>
+===== Proxy-Server =====
+Erweiterungen installieren
+  sudo a2enmod proxy proxy_ajp proxy_http rewrite deflate headers proxy_balancer proxy_connect proxy_html ssl
+Konfiguration mit SSL, hier für eine Subdomain, siehe auch [[open:it:apache|Apache Web-Server]]:
+  sudo nano  /etc/apache2/sites-available/<SUBDOMAIN>.conf
+  <IfModule mod_ssl.c>
+  <VirtualHost *:443>
+    ServerName calibre.<DOMAIN>.de
+    ...
+    ...
+    ProxyPass        / http://localhost:8080/
+    ProxyPassReverse / http://localhost:8080/
+    ...
+    ...
+  </VirtualHost>
+  </IfModule>
+<DOMAIN> ersetzen \\
+DocumentRoot kann entfernt oder deaktiviert (#) werden
+  sudo apachectl configtest
+  sudo systemctl restart apache2
+Anschließend kann die Firewall für den Port 8080 (sofern verwendet) wieder deaktiviert werden, da der Aufruf nun über den Domainnamen bzw. Subdomain erfolgt. Siehe auch [[open:it:net#firewall|Firewall]].
 ===== SSL-Zertifikate =====
-https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-20-04-de \\
+[[https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-20-04-de|Einrichtung: Ubuntu -> Apache]] \\
+[[https://www.ssllabs.com/ssltest/|SSL-Zertifikat testen]] \\
 ==== DNS-Einstellungen ====
-Die DNS-Zeiger der Domain(s) müssen vorher beim Domainprovider eingestellt sein:
+Siehe auch [[dns|DNS-Einstellungen]] \\
+Die Web-Adressen müssen zuvor beim Provider auf den Server umgeleitet werden. \\
+Das erfolgt über die DNS-Zeiger der Domain(s):
   * A -> @ -> IPV4-Adresse des Servers
   * A -> www -> IPV4-Adresse des Servers (sofern www gewünscht)
-Werden Subdomains eingerichtet zusätzlich:
+Sollen zusätzlich Subdomains eingerichtet werden:
   * A -> * -> IPV4-Adresse des Servers
+In diesem Beispiel werden durch das (zweite) * alle Subdomains umgeleitet.\\
+Es ist natürlich auch möglich, einzelne Subdomains gezielt auf einen Server umzuleiten. So können dann verschiedene Subdomains auf unterschiedliche Servern geleitet werden. \\
+Beispiel für die Subdomain "sub":
+  * A -> sub -> IPV4-Adresse des Servers
 ==== Let's-Encrypt ====
@@ Zeile 157: / Zeile 229: @@
 Zertifikat(e) erstellen
   sudo certbot --apache
-Durch das Erstellen eines Zertifikats wird automatisch zusätzlich eine Datei für den virtuellen Host der SSL-Verbindung angelegt. Z.B. für die Hostdatei "KSPI.DE.conf", zusätzlich hinzu "/etc/apache2/sites-available/KSPI.DE-le-ssl.conf"((le für Let's-Encrypt)). \\
+Durch das Erstellen eines Zertifikats wird automatisch zusätzlich eine Datei für den virtuellen Host der SSL-Verbindung angelegt. Z.B. für die Hostdatei "BLUEGNU.DE.conf", zusätzlich hinzu "/etc/apache2/sites-available/BLUEGNU.DE-le-ssl.conf"((le für Let's-Encrypt)). \\
 \\
 Timer-Einstellungen für Autorenew
@@ Zeile 167: / Zeile 239: @@
 Zertifikat löschen
   sudo certbot delete
-===== Weitere Domains =====
-Hier als Beispiel die Subdomain für das wiki > https://wiki.KSPI.DE \\
-Verzeichnis für die Daten anlegen
-  sudo mkdir /var/www/sites/wiki.KSPI.DE
-Die Programm-Dateien können dann mit einem FTP-Programm übertragen werden.
-Apache-Konfiguration virtueller Host der Domain
-  sudo nano /etc/apache2/sites-available/wiki.KSPI.DE.conf
-  <VirtualHost *:80>
-    ServerName wiki.KSPI.DE
-    ServerAdmin mail@KSPI.DE
-    DocumentRoot /var/www/sites/wiki.KSPI.DE
-    ErrorLog ${APACHE_LOG_DIR}/error.log
-    CustomLog ${APACHE_LOG_DIR}/access.log combined
-    <Directory /var/www/sites/wiki.KSPI.DE>
-      Options Indexes FollowSymLinks MultiViews
-      AllowOverride All
-      Order allow,deny
-      allow from all
-    </Directory>
-  </VirtualHost>
-Virtuellen Host im Apache-Web-Server registrieren
-  sudo a2ensite wiki.KSPI.DE.conf
-Einstellungen für den Apacheserver testen
-  sudo apache2ctl configtest
-Wenn Test ok, dann alles aktivieren
-  sudo systemctl reload apache2
-SSL-Zertifikat registrieren
-  sudo certbot --apache
-===== PHP =====
-==== Ubuntu ====
-https://php.watch/articles/install-php82-ubuntu-debian
-==== Debian ====
-Der Apache-Server kann parallel mit unterschiedlichen PHP-Versionen betrieben und eine Version davon einer Domain explizit zugewiesen werden. \\
-Quelle: https://www.codinghood.de/blog/2021/05/php-7-4-und-php-8-0-zeitgleich-auf-einem-debian-10-mit-apache-und-php-fpm-installieren/
-Benötigte Pakete wie curl installieren
-  sudo apt-get -y install apt-transport-https lsb-release ca-certificates curl
-Mit dem sury PHP Repository kommunizieren > Schlüssel herunterladen und installieren
-  sudo curl -sSL -o /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
-sury PHP Repository zur Source-List hinzufügen
-  sudo sh -c 'echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list'
-Paketlisten neu einlesen und aktualisieren.
-  sudo apt-get update
-PHP-Versionen installieren (je nach Bedarf)
-  sudo apt install php7.4 php7.4-bcmath php7.4-cli php7.4-common php7.4-curl php7.4-dev php7.4-fpm php7.4-gd php7.4-imap php7.4-intl php7.4-json php7.4-mbstring php7.4-mysql php7.4-opcache php7.4-readline php7.4-soap php7.4-sqlite3 php7.4-tidy php7.4-xsl php7.4-zip
-  sudo apt install php8.0 php8.0-bcmath php8.0-cli php8.0-common php8.0-curl php8.0-dev php8.0-fpm php8.0-gd php8.0-imap php8.0-intl php8.0-mbstring php8.0-mysql php8.0-opcache php8.0-readline php8.0-soap php8.0-sqlite3 php8.0-tidy php8.0-xml php8.0-xsl php8.0-zip
-  sudo apt install php8.2 php8.2-bcmath php8.2-cli php8.2-common php8.2-curl php8.2-dev php8.2-fpm php8.2-gd php8.2-imap php8.2-intl php8.2-mbstring php8.2-mysql php8.2-opcache php8.2-readline php8.2-soap php8.2-sqlite3 php8.2-tidy php8.2-xml php8.2-xsl php8.2-zip
-Check Installiert - sollte bei allen Versionen klappen
-  sudo systemctl status php7.4-fpm.service
-Apache-Module zum Umgang mit den PHP-FPM Installationen
-  sudo apt-get install libapache2-mod-fcgid php-fpm
-  sudo a2enmod actions alias fcgid proxy_fcgi
-Version auswählen (Server intern)
-  sudo update-alternatives --config php
-Auswahl Basisversion (Server intern)
-  sudo update-alternatives --config php-fpm.sock
-Standartversion Apache festlegen -> hier nur eine Version, die anderen, sofern aktiviert, mit a2disconf abschalten
-  sudo a2enconf php8.2-fpm.conf
-  sudo systemctl reload apache2
-Nur wenn eine Domain/Subdomain eine andere, als die PHP-Standard-Version, benötigt, die entsprechende Apache-Conf-Datei konfigurieren und Zeile einfügen. \\
-  sudo nano /etc/apache2/sites-available/xxx.conf
-Zum Beispiel:
-  Include /etc/apache2/conf-available/php8.0-fpm.conf
-  sudo systemctl reload apache2
-Check PHP-Version auf Webseite
-  sudo nano /var/www/sites/.../phpinfo.php
-    <?php
-      phpinfo();
-    ?>
-===== MySQL-Datenbank =====
-  sudo apt-get install mariadb-server
-  sudo mysql_secure_installation
-"Altes" root-Passwort ist leer, alle Fragen mit Y beantworten und neues Passwort eintragen.
-Standardverzeichnis für Datenbanken
-  /var/lib/mysql
-==== PHPMyAdmin ====
-Es ist möglich, die PHPMyAdmin von Debian zu verwenden > apt install phpmyadmin. \\
-Alternativ (hier angewandt) die aktuelle Variante von der Internetseite von phpmyadmin.net verwenden.
-Aktuelle Installationsdateien downloaden in Unterverzeichnis des Apacheservers, oder holen mit "wget". Pfad und Dateiname siehe https://www.phpmyadmin.net/
-  cd /var/www/sites/phpmyadmin/
-In diesem Beispiel wird eine bestehende Domain genutzt und darin das Unterverzeichnis phpmyadmin erstellt. Aufruf über den Browser mit <DOMAIN>/phpmyadmin. \\
-Alternative: Dateien in das Hauptverzeichnis einer Subdomain legen. Aufrug mit <SUB>.<DOMAIN> (ohne Erweiterung).
-Download der Installations-Dateien
-  sudo wget https://files.phpmyadmin.net/phpMyAdmin/5.2.1/phpMyAdmin-5.2.1-all-languages.zip
-Sollte unzip nicht installiert sein:
-  sudo apt-get install unzip
-  sudo unzip phpMyAdmin-5.2.1-all-languages.zip
-  sudo mv phpMyAdmin-5.2.1-all-languages/ phpmyadmin/
-  sudo chown -R www-data:www-data /var/www/sites/phpmyadmin
-  sudo chmod -R 775 /var/www/sites/phpmyadmin
-  cd phpmyadmin/
-  sudo cp config.sample.inc.php config.inc.php
-  sudo nano config.inc.php
-ÄNDERN IN:
-  $cfg['blowfish_secret'] = sodium_hex2bin('f16ce59f45714194371b48fe362072dc3b019da7861558cd4ad29e4d6fb13851');
-Sicherheit: direkten root-Zugang über phpmyadmin sperren. \\
-Möglich über phpmyadmin oder wie folgt:
-  sudo nano /var/www/sites/phpmyadmin/config.inc.php
-Entscheidung über letzte Zeile (AllowRoot = false == gesperrt) ggf. Zeile einfügen: \\
-  /* Configure according to dbconfig-common if enabled */
-  if (!empty($dbname)) {
-    /* Authentication type */
-    $cfg['Servers'][$i]['auth_type'] = 'cookie';
-    $cfg['Servers'][$i]['AllowRoot'] = false;
-    ...
-Neuen User anlegen:
-  sudo mysql
-  CREATE USER '<USERNAME>'@'localhost' IDENTIFIED BY '<PASSWORD>';
-User mit Rechten versehen (hier alle):
-  GRANT ALL PRIVILEGES ON * . * TO '<USERNAME>'@'localhost' WITH GRANT OPTION;
-Berechtigungen neu laden:
-  FLUSH PRIVILEGES;
-~~DISCUSSION~~