Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- open:it:apache [2026/04/26 16:10] – [Installation] k@i
+++ open:it:apache [2026/04/27 20:15] (aktuell) – [Eingeschränkter Zugang] k@i
@@ Zeile 31: / Zeile 31: @@
 Betroffene User in die Gruppe aufnehmen
   sudo usermod -aG web <USER>
 Rechte vergeben
@@ Zeile 39: / Zeile 40: @@
   sudo find /var/www/sites -type f -exec chmod 664 {} \;
-Testen, ob nur root Rechte auf alle Ebenen hat (Muss sein)
+Testen, ob nur root Rechte auf alle Ebenen hat (sollte sein)
   namei -l /var/www/sites/
@@ Zeile 51: / Zeile 52: @@
 ===== FTP-Zugang =====
-  sudo apt install vsftpd
-  sudo nano /etc/vsftpd.conf
+Der FTP-Zugang sollte nur als SFTP zugelassen werden und wird konfiguriert über [[ssh|SSH-Verbindungen]].
-  local_enable=YES
+==== Eingeschränkter Zugang ====
-  anonymus_enable=NO
+Soll ein Kunde/Anwender eingeschränkte Rechte für eine oder mehrere Webseiten erhalten, kann dies wie folgt eingerichtet werden. \\
-  write_enable=YES
-  sudo systemctl reload vsftpd
+Anwender Y => <ANY>
-FTP-User anlegen - Namen festlegen. Der Zugriff für den <FTPUSER> wird auf den u.a. Bereich eingeschränkt, das gilt auch für den SSH-Zugriff über die Shell. Der o.a. <SUDO-USER> sollte daher __nicht__ hier verwendet werden.
+User anlegen, siehe auch [[user|Linux-Benutzerverwaltung]]
+  sudo useradd -M -s /usr/sbin/nologin <ANY>
+-s = Shell entfernen, kein Zugriff über SSH.
-  sudo adduser <FTPUSER> --no-create-home
+Passwort vergeben
-FTP-User in die Apache-Gruppe aufnehmen
+  sudo passwd <ANY>
-  sudo usermod -aG www-data <FTPUSER>
-Zugang für FTP-User einschränken auf den Bereich der Webseiten im Verzeichnis /var/www
+Web-Gruppe zuordnen
-  sudo nano /etc/ssh/sshd_config
+  sudo usermod -aG web <ANY>
+Anstelle des Passwort-Zugriffs kann dies auch mit einem [[ssh#SSH-Schlüssel|SSH-Schlüssel]] erfolgen. Dazu den öffentlichen Schlüssel in der Datei /home/<ANY>/.ssh/authorized_keys registrieren bzw. hinterlegen.
+Wird der User wie hier beschrieben angelegt, wird sein Home-Verzeichnis nicht automatisch mit angelegt. Das muss dann manuell erfolgen. Erforderlich, auch wenn der User später keinen Zugriff darauf haben wird. \\
+Rechte für das Verzeichnis setzen:
+  sudo chown -R <ANY>:<ANY> /home/<ANY>/.ssh
-  Match User <FTPUSER>
+  sudo chmod 700 /home/<ANY>/.ssh
-    X11Forwarding no
-    AllowTcpForwarding no
-    PermitTTY no
-    ForceCommand internal-sftp
-    ChrootDirectory /var/www/
-    PasswordAuthentication yes
-  sudo systemctl reload ssh
+  sudo chmod 600 /home/<ANY>/.ssh/authorized_keys
-Für den FTP-Zugriff von <FTPUSER> mit o.a. Einschränkung (Match User ...) ist eine Besonderheit zu beachten, da sonst kein Zugang per FTP möglich ist. \\
+Hier wird der User eingesperrt: \\
-Der Owner vom Verzeichnis /var/www, bzw. Pfad aus Parameter **ChrootDirectory**, muss root sein und Gruppe oder Sonstige dürfen keine Schreibrechte besitzen.  \\
+Chroot-Verzeichnis anlegen
-Diese Vorgaben gelten nur für das Hauptverzeichnis, nicht für darin enthaltene Unterverzeichnisse, daher im folgenden die Option -R nicht angewandt.\\
+  sudo mkdir -p /sftp-chroot/<ANY>/webseite_1
-Ggf. Einstellungen anpassen::
-Setze Besitzer.
+  sudo chown root:root /sftp-chroot
-  sudo chown root:root /var/www/
-Entferne Schreibrechte (w) für Gruppe (g)
+  sudo chmod 755 /sftp-chroot
-  sudo chmod g-w /var/www/
-Entferne Schreibrechte für Sonstige (o)
+  sudo chown root:root /sftp-chroot/<ANY>
-  sudo chmod o-w /var/www/
-Anschließend hat der FTP-User Lese-Zugriff auf das Verzeichnis /var/www \\
+  sudo chmod 755 /sftp-chroot/<ANY>
-Schreibrechte müssen dann in weiteren Unterverzeichnissen (var/www/html, /var/www/sites, etc.) für die Gruppe www-data erteilt werden bzw. müssten eigentlich bereits für den Apache-Webserver vorhanden sein - siehe auch oben unter [[#Installation|Installation]].
+Einbinden
+  sudo mount --bind /var/www/sites/<WEBSEITENDATEIEN> /sftp-chroot/<ANY>/webseite1
+Dauerhaft machen
+  sudo nano /etc/fstab
+  /var/www/sites/<WEBSEITENDATEIEN> /sftp-chroot/<ANY>/webseite1 none bind 0 0
+SSH für jeden User mit eingeschränkten Rechten extra konfigurieren
+  sudo nano /etc/ssh/sshd_config
+<WRAP important>
+ACHTUNG:
+Niemals folgendes für den **__Hauptuser/Admin__** konfigurieren.
+Das Ziel wäre: Einen Landungspunkt definieren, was klappt, aber
+das sperrt den SSH-Zugang und nur noch SFTP ist möglich!!
+Und damit keine sudo-Aktivitäten mehr.
+  Match User <ANY>
+    ForceCommand internal-sftp -d /var/www/sites
+</WRAP>
+Einrichtung mit Password
+  Match User <ANY>
+    PasswordAuthentication yes
+    PubkeyAuthentication no
+    ChrootDirectory /sftp-chroot/<ANY>
+    ForceCommand internal-sftp -d /web
+    AllowTcpForwarding no
+    X11Forwarding no
+Einrichtung mit Key-Zugriff
+  Match User <ANY>
+    PasswordAuthentication no
+    PubkeyAuthentication yes
+    ChrootDirectory /sftp-chroot/<ANY>
+    ForceCommand internal-sftp -d /web
+    AllowTcpForwarding no
+    X11Forwarding no
+Syntax des Ports überprüfen
+  sudo sshd -t
+Restart
+  sudo systemctl restart ssh
 ===== Webseiten & virtueller Host =====
-Verzeichnis für die HTML-Daten über die Shell anlegen
+Verzeichnis für die HTML-Daten anlegen
   sudo mkdir /var/www/sites/BLUEGNU.DE
-  sudo chmod -R 775 /var/www/sites/BLUEGNU.DE
 Die Programm-Dateien können dann mit einem FTP-Programm übertragen werden.
-Je nach Anwendungsfall ist es sinnvoll sensible Daten außerhalb des direkten Webseitenzugriffs und in andere Verzeichnisse zu platzieren. Der Apache-Webbrowser (User www-data) muss Zugriff darauf haben -> Z.B. im Verzeichnis /var/www/data/.... Das muss über die Konfiguration der jeweilige Webseite definiert werden. Z.B. bei Nextcloud über die ...config/config.php
+Je nach Anwendungsfall ist es sinnvoll sensible Daten außerhalb des direkten Webseitenzugriffs und in andere Verzeichnisse zu platzieren. Der Apache-Webbrowser (User www-data) muss Zugriff darauf haben -> Z.B. im Verzeichnis /var/data/.... Das muss über die Konfiguration der jeweilige Webseite definiert werden. Z.B. bei Nextcloud über die ...config/config.php
-  sudo mkdir /var/www/data/
+  sudo mkdir /var/data/
-Auch hier kann man wie bereits im Verzeichniss /var/www/sites/ den Bereich für die Gruppe __www-data__ per Default mit Rechten versehen.
+Für dieses Verzeichnis sollten die gleichen Zugriffsrechte konfiguriert sein, wie für das Verzeichnis /var/www/sites
-  sudo setfacl -dm g:www-data:rwx /var/www/data/
-Alternativ:
-  sudo chown -R www-data:www-data /var/www/data/
-und
-  sudo chmod -R 775 /var/www/data/
 Apache-Konfiguration virtueller Host der Domain
@@ Zeile 132: / Zeile 164: @@
     </Directory>
   </VirtualHost>
-Beim Erstellen der Let's-Encrypt-Zertifikate gab es Probleme mit dem ServerAlias "www....". Daher wurde hier auf die Einstellung des ServerAlias verzichtet. Es ist möglich, die www.<DOMAIN> als eigenständige Subdomain zu verarbeiten (s.u.) und dafür eine eigenes Zertifikat zu erstellen.  Für Documentroot wird das selbe Verzeichnis angegeben.
 Virtuellen Host im Apache-Web-Server registrieren
   sudo a2ensite BLUEGNU.DE.conf
 Defaultseite deaktivieren. Dadurch wird erste Domain (nach Alphabet) zur Defaultseite, sollte z.B. nur die Server-IP-Adresse über einen Webbrowser aufgerufen werden, oder die per DNS hierhin umgeleitete Domain nicht zu finden sein.
   sudo a2dissite 000-default.conf
 Alternativ kann eine permanente Umleitung in diese Datei geschrieben werden, um eine bestimmte Domain aufzurufen.
   <VirtualHost *:80>
@@ Zeile 146: / Zeile 178: @@
 Hostname und Fully-Qualified Host Name (FQHN) festlegen
   sudo hostnamectl set-hostname server.BLUEGNU.DE
 Einstellungen für den Apacheserver testen
   sudo apache2ctl configtest
@@ Zeile 240: / Zeile 273: @@
 Zertifikat löschen
   sudo certbot delete
-===== Weitere Domains =====
-Hier als Beispiel die Subdomain für das wiki > https://wiki.BLUEGNU.DE \\
-Verzeichnis für die Daten anlegen
-  sudo mkdir /var/www/sites/wiki.BLUEGNU.DE
-Die Programm-Dateien können dann mit einem FTP-Programm übertragen werden.
-Apache-Konfiguration virtueller Host der Domain
-  sudo nano /etc/apache2/sites-available/wiki.BLUEGNU.DE.conf
-  <VirtualHost *:80>
-    ServerName wiki.BLUEGNU.DE
-    ServerAdmin email@BLUEGNU.DE
-    DocumentRoot /var/www/sites/wiki.BLUEGNU.DE
-    ErrorLog ${APACHE_LOG_DIR}/error.log
-    CustomLog ${APACHE_LOG_DIR}/access.log combined
-    <Directory /var/www/sites/wiki.BLUEGNU.DE>
-      Options Indexes FollowSymLinks MultiViews
-      AllowOverride All
-      Order allow,deny
-      allow from all
-    </Directory>
-  </VirtualHost>
-Virtuellen Host im Apache-Web-Server registrieren
-  sudo a2ensite wiki.BLUEGNU.DE.conf
-Einstellungen für den Apacheserver testen
-  sudo apache2ctl configtest
-Wenn Test ok, dann alles aktivieren
-  sudo systemctl reload apache2
-SSL-Zertifikat registrieren
-  sudo certbot --apache