Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- open:it:apache [2025/08/05 20:52] – [DNS-Einstellungen] k@i
+++ open:it:apache [2026/04/26 17:21] (aktuell) – [FTP-Zugang] k@i
@@ Zeile 19: / Zeile 19: @@
 Verzeichnis für Webseiten anlegen.
   sudo mkdir /var/www/sites
+Es sollten hier keine ACL-Rechte vergeben sein. ggf. löschen (kein + am Ende > ls -l):
+  sudo setfacl -bR /var/www/sites
+Eine Gruppe für alle User der Webseiten erstellen
+  sudo groupadd web
+Die der Apache-User muss in dieses Gruppe aufgenommen werden
+  sudo usermod -aG web www-data
+Betroffene User in die Gruppe aufnehmen
+  sudo usermod -aG web <USER>
+Rechte vergeben
+  sudo chown -R www-data:web /var/www/sites
+  sudo find /var/www/sites -type d -exec chmod 2775 {} \;
+  sudo find /var/www/sites -type f -exec chmod 664 {} \;
-Default-Einstellungen für die Webseiten-Verzeichnisse mit ACL. www-data wird als User & Gruppe vom Apache-Webserver genutzt. Wenn ein <FTPUSER> Daten auf den Server hochlädt, behält die Gruppe www-data und somit der Apache-Webserver alle erforderlichen Zugriff-Rechte um in diesem Bereich handeln zu können.
+Testen, ob nur root Rechte auf alle Ebenen hat (Muss sein)
-  sudo setfacl -dm g:www-data:rwx /var/www/sites/
+  namei -l /var/www/sites/
-Den Main-User in die Gruppe www-data aufnehmen, damit er Schreibrechte im Bereich der HTML-Seiten hat.
-  sudo usermod -aG www-data <SUDO-USER>
 ==== Firewall ====
@@ Zeile 34: / Zeile 51: @@
 ===== FTP-Zugang =====
-  sudo apt install vsftpd
-  sudo nano /etc/vsftpd.conf
+Der FTP-Zugang sollte nur als SFTP zugelassen werden und wird konfiguriert über [[ssh|SSH-Verbindungen]].
-  local_enable=YES
+Soll ein Kunde/Anwender eingeschränkte Rechte für eine oder mehrere Webseiten erhalten, kann dies wie folgt eingerichtet werden. \\
-  anonymus_enable=NO
-  write_enable=YES
-  sudo systemctl reload vsftpd
+Anwender Y => <ANY>
-FTP-User anlegen - Namen festlegen. Der Zugriff für den <FTPUSER> wird auf den u.a. Bereich eingeschränkt, das gilt auch für den SSH-Zugriff über die Shell. Der o.a. <SUDO-USER> sollte daher __nicht__ hier verwendet werden.
+User anlegen
+  sudo useradd -M -s /usr/sbin/nologin <ANY>
+Passwort vergeben
+  sudo passwd <ANY>
-  sudo adduser <FTPUSER> --no-create-home
+Chroot-Verzeichnis anlegen
-FTP-User in die Apache-Gruppe aufnehmen
+  sudo mkdir -p /sftp-chroot/<ANY>
-  sudo usermod -aG www-data <FTPUSER>
-Zugang für FTP-User einschränken auf den Bereich der Webseiten im Verzeichnis /var/www
+  sudo chown root:root /sftp-chroot
-  sudo nano /etc/ssh/sshd_config
-  Match User <FTPUSER>
+  sudo chmod 755 /sftp-chroot
-    X11Forwarding no
-    AllowTcpForwarding no
-    PermitTTY no
-    ForceCommand internal-sftp
-    ChrootDirectory /var/www/
-    PasswordAuthentication yes
-  sudo systemctl reload ssh
+  sudo chown root:root /sftp-chroot/<ANY>
-Für den FTP-Zugriff von <FTPUSER> mit o.a. Einschränkung (Match User ...) ist eine Besonderheit zu beachten, da sonst kein Zugang per FTP möglich ist. \\
+  sudo chmod 755 /sftp-chroot/<ANY>
-Der Owner vom Verzeichnis /var/www, bzw. Pfad aus Parameter **ChrootDirectory**, muss root sein und Gruppe oder Sonstige dürfen keine Schreibrechte besitzen.  \\
-Diese Vorgaben gelten nur für das Hauptverzeichnis, nicht für darin enthaltene Unterverzeichnisse, daher im folgenden die Option -R nicht angewandt.\\
-Ggf. Einstellungen anpassen::
-Setze Besitzer.
+  sudo mkdir /sftp-chroot/<ANY>/webseite1
-  sudo chown root:root /var/www/
+Einbinden
+  sudo mount --bind /var/www/sites/<WEBSEITENDATEIEN> /sftp-chroot/<ANY>/webseite1
-Entferne Schreibrechte (w) für Gruppe (g)
+Dauerhaft machen
-  sudo chmod g-w /var/www/
+  sudo nano /etc/fstab
+  /var/www/sites/<WEBSEITENDATEIEN> /sftp-chroot/<ANY>/webseite1 none bind 0 0
+Rechte vergeben
+  sudo usermod -aG web <ANY>
+  sudo usermod -s /usr/sbin/nologin <ANY>
+SSH konfigurieren
+  sudo nano /etc/ssh/sshd_config
+  Match User <ANY>
+    PasswordAuthentication yes
+    PubkeyAuthentication no
+    ChrootDirectory /sftp-chroot/<ANY>
+    ForceCommand internal-sftp -d /web
+    AllowTcpForwarding no
+    X11Forwarding no
-Entferne Schreibrechte für Sonstige (o)
+  sudo sshd -t
-  sudo chmod o-w /var/www/
-Anschließend hat der FTP-User Lese-Zugriff auf das Verzeichnis /var/www \\
+  sudo systemctl restart ssh
-Schreibrechte müssen dann in weiteren Unterverzeichnissen (var/www/html, /var/www/sites, etc.) für die Gruppe www-data erteilt werden bzw. müssten eigentlich bereits für den Apache-Webserver vorhanden sein - siehe auch oben unter [[#Installation|Installation]].
 ===== Webseiten & virtueller Host =====
-Verzeichnis für die HTML-Daten über die Shell anlegen
+Verzeichnis für die HTML-Daten anlegen
   sudo mkdir /var/www/sites/BLUEGNU.DE
-  sudo chmod -R 775 /var/www/sites/BLUEGNU.DE
 Die Programm-Dateien können dann mit einem FTP-Programm übertragen werden.
-Je nach Anwendungsfall ist es sinnvoll sensible Daten außerhalb des direkten Webseitenzugriffs und in andere Verzeichnisse zu platzieren. Der Apache-Webbrowser (User www-data) muss Zugriff darauf haben -> Z.B. im Verzeichnis /var/www/data/.... Das muss über die Konfiguration der jeweilige Webseite definiert werden. Z.B. bei Nextcloud über die ...config/config.php
+Je nach Anwendungsfall ist es sinnvoll sensible Daten außerhalb des direkten Webseitenzugriffs und in andere Verzeichnisse zu platzieren. Der Apache-Webbrowser (User www-data) muss Zugriff darauf haben -> Z.B. im Verzeichnis /var/data/.... Das muss über die Konfiguration der jeweilige Webseite definiert werden. Z.B. bei Nextcloud über die ...config/config.php
-  sudo mkdir /var/www/data/
+  sudo mkdir /var/data/
-Auch hier kann man wie bereits im Verzeichniss /var/www/sites/ den Bereich für die Gruppe __www-data__ per Default mit Rechten versehen.
+Für dieses Verzeichnis sollten die gleichen Zugriffsrechte konfiguriert sein, wie für das Verzeichnis /var/www/sites
-  sudo setfacl -dm g:www-data:rwx /var/www/data/
-Alternativ:
-  sudo chown -R www-data:www-data /var/www/data/
-und
-  sudo chmod -R 775 /var/www/data/
 Apache-Konfiguration virtueller Host der Domain
@@ Zeile 104: / Zeile 119: @@
   <VirtualHost *:80>
     ServerName BLUEGNU.DE
-    ServerAdmin mail@BLUEGNU.DE
+    ServerAdmin email@BLUEGNU.DE
     DocumentRoot /var/www/sites/BLUEGNU.DE
     ErrorLog ${APACHE_LOG_DIR}/error.log
@@ Zeile 115: / Zeile 130: @@
     </Directory>
   </VirtualHost>
-Beim Erstellen der Let's-Encrypt-Zertifikate gab es Probleme mit dem ServerAlias "www....". Daher wurde hier auf die Einstellung des ServerAlias verzichtet. Es ist möglich, die www.<DOMAIN> als eigenständige Subdomain zu verarbeiten (s.u.) und dafür eine eigenes Zertifikat zu erstellen.  Für Documentroot wird das selbe Verzeichnis angegeben.
 Virtuellen Host im Apache-Web-Server registrieren
   sudo a2ensite BLUEGNU.DE.conf
 Defaultseite deaktivieren. Dadurch wird erste Domain (nach Alphabet) zur Defaultseite, sollte z.B. nur die Server-IP-Adresse über einen Webbrowser aufgerufen werden, oder die per DNS hierhin umgeleitete Domain nicht zu finden sein.
   sudo a2dissite 000-default.conf
 Alternativ kann eine permanente Umleitung in diese Datei geschrieben werden, um eine bestimmte Domain aufzurufen.
   <VirtualHost *:80>
@@ Zeile 129: / Zeile 144: @@
 Hostname und Fully-Qualified Host Name (FQHN) festlegen
   sudo hostnamectl set-hostname server.BLUEGNU.DE
 Einstellungen für den Apacheserver testen
   sudo apache2ctl configtest
@@ Zeile 223: / Zeile 239: @@
 Zertifikat löschen
   sudo certbot delete
-===== Weitere Domains =====
-Hier als Beispiel die Subdomain für das wiki > https://wiki.BLUEGNU.DE \\
-Verzeichnis für die Daten anlegen
-  sudo mkdir /var/www/sites/wiki.BLUEGNU.DE
-Die Programm-Dateien können dann mit einem FTP-Programm übertragen werden.
-Apache-Konfiguration virtueller Host der Domain
-  sudo nano /etc/apache2/sites-available/wiki.BLUEGNU.DE.conf
-  <VirtualHost *:80>
-    ServerName wiki.BLUEGNU.DE
-    ServerAdmin mail@BLUEGNU.DE
-    DocumentRoot /var/www/sites/wiki.BLUEGNU.DE
-    ErrorLog ${APACHE_LOG_DIR}/error.log
-    CustomLog ${APACHE_LOG_DIR}/access.log combined
-    <Directory /var/www/sites/wiki.BLUEGNU.DE>
-      Options Indexes FollowSymLinks MultiViews
-      AllowOverride All
-      Order allow,deny
-      allow from all
-    </Directory>
-  </VirtualHost>
-Virtuellen Host im Apache-Web-Server registrieren
-  sudo a2ensite wiki.BLUEGNU.DE.conf
-Einstellungen für den Apacheserver testen
-  sudo apache2ctl configtest
-Wenn Test ok, dann alles aktivieren
-  sudo systemctl reload apache2
-SSL-Zertifikat registrieren
-  sudo certbot --apache