wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
open:it:apache

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
open:it:apache [2026/02/19 10:49] – [Weitere Domains] k@iopen:it:apache [2026/04/26 17:21] (aktuell) – [FTP-Zugang] k@i
Zeile 19: Zeile 19:
 Verzeichnis für Webseiten anlegen.  Verzeichnis für Webseiten anlegen. 
   sudo mkdir /var/www/sites   sudo mkdir /var/www/sites
 +  
 +Es sollten hier keine ACL-Rechte vergeben sein. ggf. löschen (kein + am Ende > ls -l):
 +  sudo setfacl -bR /var/www/sites
 +
 +Eine Gruppe für alle User der Webseiten erstellen
 +  sudo groupadd web
 +
 +Die der Apache-User muss in dieses Gruppe aufgenommen werden
 +  sudo usermod -aG web www-data
 +
 +Betroffene User in die Gruppe aufnehmen
 +  sudo usermod -aG web <USER>
 +
 +Rechte vergeben
 +  sudo chown -R www-data:web /var/www/sites
 +
 +  sudo find /var/www/sites -type d -exec chmod 2775 {} \;
 +
 +  sudo find /var/www/sites -type f -exec chmod 664 {} \;
  
-Default-Einstellungen für die Webseiten-Verzeichnisse mit ACL. www-data wird als User & Gruppe vom Apache-Webserver genutzt. Wenn ein <FTPUSER> Daten auf den Server hochlädt, behält die Gruppe www-data und somit der Apache-Webserver alle erforderlichen Zugriff-Rechte um in diesem Bereich handeln zu können. +Testen, ob nur root Rechte auf alle Ebenen hat (Muss sein) 
-  sudo setfacl -dm g:www-data:rwx /var/www/sites/ +  namei -/var/www/sites/
-Den Main-User in die Gruppe www-data aufnehmen, damit er Schreibrechte im Bereich der HTML-Seiten hat. +
-  sudo usermod -aG www-data <SUDO-USER>+
  
 ==== Firewall ==== ==== Firewall ====
Zeile 34: Zeile 51:
  
 ===== FTP-Zugang ===== ===== FTP-Zugang =====
-  sudo apt install vsftpd 
  
-  sudo nano /etc/vsftpd.conf+Der FTP-Zugang sollte nur als SFTP zugelassen werden und wird konfiguriert über [[ssh|SSH-Verbindungen]].
  
-  local_enable=YES +Soll ein Kunde/Anwender eingeschränkte Rechte für eine oder mehrere Webseiten erhalten, kann dies wie folgt eingerichtet werden. \\
-  anonymus_enable=NO +
-  write_enable=YES+
  
-  sudo systemctl reload vsftpd+Anwender Y => <ANY>
  
-FTP-User anlegen - Namen festlegen. Der Zugriff für den <FTPUSERwird auf den u.a. Bereich eingeschränkt, das gilt auch für den SSH-Zugriff über die Shell. Der o.a. <SUDO-USERsollte daher __nicht__ hier verwendet werden.+User anlegen 
 +  sudo useradd -M -s /usr/sbin/nologin <ANY> 
 +Passwort vergeben 
 +  sudo passwd <ANY>
  
-  sudo adduser <FTPUSER> --no-create-home +Chroot-Verzeichnis anlegen 
-FTP-User in die Apache-Gruppe aufnehmen +  sudo mkdir -p /sftp-chroot/<ANY>
-  sudo usermod -aG www-data <FTPUSER>+
  
-Zugang für FTP-User einschränken auf den Bereich der Webseiten im Verzeichnis /var/www +  sudo chown root:root /sftp-chroot
-  sudo nano /etc/ssh/sshd_config+
  
-  Match User <FTPUSER> +  sudo chmod 755 /sftp-chroot
-    X11Forwarding no +
-    AllowTcpForwarding no +
-    PermitTTY no +
-    ForceCommand internal-sftp +
-    ChrootDirectory /var/www/ +
-    PasswordAuthentication yes+
  
-  sudo systemctl reload ssh+  sudo chown root:root /sftp-chroot/<ANY>
  
-Für den FTP-Zugriff von <FTPUSERmit o.a. Einschränkung (Match User ...) ist eine Besonderheit zu beachten, da sonst kein Zugang per FTP möglich ist. \\ +  sudo chmod 755 /sftp-chroot/<ANY>
-Der Owner vom Verzeichnis /var/www, bzw. Pfad aus Parameter **ChrootDirectory**, muss root sein und Gruppe oder Sonstige dürfen keine Schreibrechte besitzen.  \\  +
-Diese Vorgaben gelten nur für das Hauptverzeichnis, nicht für darin enthaltene Unterverzeichnisse, daher im folgenden die Option -R nicht angewandt.\\ +
-Ggf. Einstellungen anpassen::+
  
-Setze Besitzer. +  sudo mkdir /sftp-chroot/<ANY>/webseite1 
-  sudo chown root:root /var/www/+Einbinden 
 +  sudo mount --bind /var/www/sites/<WEBSEITENDATEIEN> /sftp-chroot/<ANY>/webseite1
  
-Entferne Schreibrechte (w) für Gruppe (g) +Dauerhaft machen 
-  sudo chmod g-w /var/www/+  sudo nano /etc/fstab 
 + 
 +  /var/www/sites/<WEBSEITENDATEIEN> /sftp-chroot/<ANY>/webseite1 none bind 0 0 
 + 
 +Rechte vergeben 
 +  sudo usermod -aG web <ANY> 
 + 
 +  sudo usermod -s /usr/sbin/nologin <ANY> 
 + 
 +SSH konfigurieren 
 +  sudo nano /etc/ssh/sshd_config 
 + 
 +  Match User <ANY> 
 +    PasswordAuthentication yes 
 +    PubkeyAuthentication no 
 +    ChrootDirectory /sftp-chroot/<ANY> 
 +    ForceCommand internal-sftp -d /web 
 +    AllowTcpForwarding no 
 +    X11Forwarding no
  
-Entferne Schreibrechte für Sonstige (o) +  sudo sshd -t
-  sudo chmod o-w /var/www/+
  
-Anschließend hat der FTP-User Lese-Zugriff auf das Verzeichnis /var/www \\ +  sudo systemctl restart ssh
-Schreibrechte müssen dann in weiteren Unterverzeichnissen (var/www/html, /var/www/sites, etc.) für die Gruppe www-data erteilt werden bzw. müssten eigentlich bereits für den Apache-Webserver vorhanden sein - siehe auch oben unter [[#Installation|Installation]].+
 ===== Webseiten & virtueller Host ===== ===== Webseiten & virtueller Host =====
-Verzeichnis für die HTML-Daten über die Shell anlegen+Verzeichnis für die HTML-Daten anlegen
   sudo mkdir /var/www/sites/BLUEGNU.DE   sudo mkdir /var/www/sites/BLUEGNU.DE
  
-  sudo chmod -R 775 /var/www/sites/BLUEGNU.DE 
-  
 Die Programm-Dateien können dann mit einem FTP-Programm übertragen werden. Die Programm-Dateien können dann mit einem FTP-Programm übertragen werden.
  
-Je nach Anwendungsfall ist es sinnvoll sensible Daten außerhalb des direkten Webseitenzugriffs und in andere Verzeichnisse zu platzieren. Der Apache-Webbrowser (User www-data) muss Zugriff darauf haben -> Z.B. im Verzeichnis /var/www/data/.... Das muss über die Konfiguration der jeweilige Webseite definiert werden. Z.B. bei Nextcloud über die ...config/config.php+Je nach Anwendungsfall ist es sinnvoll sensible Daten außerhalb des direkten Webseitenzugriffs und in andere Verzeichnisse zu platzieren. Der Apache-Webbrowser (User www-data) muss Zugriff darauf haben -> Z.B. im Verzeichnis /var/data/.... Das muss über die Konfiguration der jeweilige Webseite definiert werden. Z.B. bei Nextcloud über die ...config/config.php
  
-  sudo mkdir /var/www/data/+  sudo mkdir /var/data/
  
-Auch hier kann man wie bereits im Verzeichniss /var/www/sites/ den Bereich für die Gruppe __www-data__ per Default mit Rechten versehen. +Für dieses Verzeichnis sollten die gleichen Zugriffsrechte konfiguriert sein, wie für das Verzeichnis /var/www/sites 
-  sudo setfacl -dm g:www-data:rwx /var/www/data/ +
-   +
-Alternativ: +
-  sudo chown -R www-data:www-data /var/www/data/ +
-und +
-  sudo chmod -R 775 /var/www/data/+
  
 Apache-Konfiguration virtueller Host der Domain Apache-Konfiguration virtueller Host der Domain
Zeile 115: Zeile 130:
     </Directory>     </Directory>
   </VirtualHost>   </VirtualHost>
- 
-Beim Erstellen der Let's-Encrypt-Zertifikate gab es Probleme mit dem ServerAlias "www....". Daher wurde hier auf die Einstellung des ServerAlias verzichtet. Es ist möglich, die www.<DOMAIN> als eigenständige Subdomain zu verarbeiten (s.u.) und dafür eine eigenes Zertifikat zu erstellen.  Für Documentroot wird das selbe Verzeichnis angegeben. 
  
 Virtuellen Host im Apache-Web-Server registrieren Virtuellen Host im Apache-Web-Server registrieren
   sudo a2ensite BLUEGNU.DE.conf   sudo a2ensite BLUEGNU.DE.conf
 +
 Defaultseite deaktivieren. Dadurch wird erste Domain (nach Alphabet) zur Defaultseite, sollte z.B. nur die Server-IP-Adresse über einen Webbrowser aufgerufen werden, oder die per DNS hierhin umgeleitete Domain nicht zu finden sein. Defaultseite deaktivieren. Dadurch wird erste Domain (nach Alphabet) zur Defaultseite, sollte z.B. nur die Server-IP-Adresse über einen Webbrowser aufgerufen werden, oder die per DNS hierhin umgeleitete Domain nicht zu finden sein.
   sudo a2dissite 000-default.conf   sudo a2dissite 000-default.conf
 +
 Alternativ kann eine permanente Umleitung in diese Datei geschrieben werden, um eine bestimmte Domain aufzurufen.  Alternativ kann eine permanente Umleitung in diese Datei geschrieben werden, um eine bestimmte Domain aufzurufen. 
   <VirtualHost *:80>   <VirtualHost *:80>
Zeile 129: Zeile 144:
 Hostname und Fully-Qualified Host Name (FQHN) festlegen Hostname und Fully-Qualified Host Name (FQHN) festlegen
   sudo hostnamectl set-hostname server.BLUEGNU.DE   sudo hostnamectl set-hostname server.BLUEGNU.DE
 +
 Einstellungen für den Apacheserver testen Einstellungen für den Apacheserver testen
   sudo apache2ctl configtest   sudo apache2ctl configtest
Zeile 223: Zeile 239:
 Zertifikat löschen Zertifikat löschen
   sudo certbot delete   sudo certbot delete
- 
-===== Weitere Domains ===== 
-Hier als Beispiel die Subdomain für das wiki > https://wiki.BLUEGNU.DE \\ 
-Verzeichnis für die Daten anlegen 
-  sudo mkdir /var/www/sites/wiki.BLUEGNU.DE 
- 
-Die Programm-Dateien können dann mit einem FTP-Programm übertragen werden. 
- 
-Apache-Konfiguration virtueller Host der Domain 
-  sudo nano /etc/apache2/sites-available/wiki.BLUEGNU.DE.conf 
- 
-  <VirtualHost *:80> 
-    ServerName wiki.BLUEGNU.DE 
-    ServerAdmin email@BLUEGNU.DE 
-    DocumentRoot /var/www/sites/wiki.BLUEGNU.DE 
-    ErrorLog ${APACHE_LOG_DIR}/error.log 
-    CustomLog ${APACHE_LOG_DIR}/access.log combined 
-    <Directory /var/www/sites/wiki.BLUEGNU.DE> 
-      Options Indexes FollowSymLinks MultiViews 
-      AllowOverride All 
-      Order allow,deny 
-      allow from all 
-    </Directory> 
-  </VirtualHost> 
- 
-Virtuellen Host im Apache-Web-Server registrieren 
-  sudo a2ensite wiki.BLUEGNU.DE.conf 
-Einstellungen für den Apacheserver testen 
-  sudo apache2ctl configtest 
-Wenn Test ok, dann alles aktivieren 
-  sudo systemctl reload apache2 
-SSL-Zertifikat registrieren 
-  sudo certbot --apache 
  
open/it/apache.1771494551.txt.gz · Zuletzt geändert: von k@i