Ответы пользователя по тегу Apache HTTP Server
  • Запрос превысил лимит в 10, как исправить?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Посмотреть лог, найти циклическую ссылку, устранить.
    Ответ написан
    Комментировать
  • Forbidden Apache после установки сертификата. Как исправить?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Судя по ошибке, нужно открыть конфиг апача и вдумчиво его просмотреть. Апач невероятно виртуозен в настройке - там черта лысого можно наворотить.
    Ответ написан
    Комментировать
  • Можно ли как-то отредактировать файл /etc/resolv.conf на shared хостинге?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Нет. Он потому и шаред, что расшарен среди кучи народа, которым вовсе может и не нужна твоя правка. Хочешь полного доступа - бери VPS.
    Ответ написан
    Комментировать
  • Как настроить конфиг апача с SSL?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    У апача настолько гибкий конфиг, что он позволяет вывернуть себя наизнанку. Поэтому советы будут во многом зависеть от того, что за дистриб у Вас.

    Конфиг у апача модульный. Это означает, что для запуска https кроме настроек сайта (ниже) нужно еще настроить апач "вообще". Обычно это делается подключением файла с именем ну например 40_mod_ssl.conf (это он у меня так называется, у Вас будет называться по-другому) - там куча общих настроек.

    В конфиге сайта для запуска https делаются следюущие настройки:
    <VirtualHost *:443>
        ServerName имя_сайта
        ServerAdmin мыло_админа_сайта
    
        SSLEngine on
        SSLProtocol all -SSLv2 -SSLv3
    
        SSLCipherSuite kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
        SSLHonorCipherOrder on
    
        SSLCertificateFile "/etc/ssl/certs/файл_сертификата_сайта"
        SSLCertificateKeyFile "/etc/ssl/private/файл_ключа_сертификата_сайта"
    
        SSLOptions +StdEnvVars +StrictRequire
    
        CustomLog /var/log/httpd/сайт/access common
        ErrorLog /var/log/httpd/сайт/httpd
    </VirtualHost>


    SSLCipherSuite и SSLHonorCiperOrder трогать не рекоменду - копипастить как есть. Первый параметр задает шифронаборы, которые поддерживает сайт, второй - что шифронаборы выбирает сервер, а не клиент. Шифрнаборы заданы довольно либерально (это дает возможность подключаться старым браузерам и старым осям). Для усиления безопасности строку можно переписать так:

    SSLCipherSuite kEECDH+AES:kEDH+AES:kEECDH+CHACHA20:kEDH+CHACHA20:!aNULL:!DSS:!SSLv2:!SSLv3
    Ответ написан
    5 комментариев
  • Нештатная перезагрузка dedicated сервера с Bitrix?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Тут не нужен был ни жирный ни худой девопс. EL7 - достаточно стабильная система, ее почти не испортило даже появление systemd. Если она начинает сыпаться (а 20 перезагрузок в день - это оно и есть) - значит проблема в железе однозначно.
    Если машина конторская - берем, тестируем. Если провайдерская - возвращаем этот piece of shit. Ставим новый сервак, на него переносим старый. Я бы действительно задумался об установке туда гипера - ВМ куда как проще бэкапить-восстанавливать да и переносить туда-сюда тоже проще, чем bare-metal.
    Хотя и bare-metal тоже можно через dump/restore.
    Ответ написан
    Комментировать
  • Как узнать пароль от https сертификата?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Каким образом выпускали? (какой командой). Что в итоге получили?
    Ответ написан
    4 комментария
  • Как импортировать .ldif в Active Directory?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Глеб, а с чего ты решил, что LDIF-файл для openLDAP вообще должен импортироваться в AD? Только потому что там внутри LDAP? Ну так так схема совсем другая...
    Ответ написан
  • Как закрыть анонимный конфлюенс (сайт)?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Надо же, кто-то еще использует сдохшие продукты атлассиана...

    У Confluence обалденная встроенная авторизация. Насоздавать внутренних юзеров и пускать по логину-паролю. Внешнюю авторизацию можно прикрутить только если пускать через какой-то промежуточный сайт - потому что Confluence на томкате работает - он сам себе сервер.
    Но лучше всего конечно же пускать через vpn
    Ответ написан
    6 комментариев
  • Как правильно настроить SSLCACertificateFile у Apache?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    SSLCACertificatePath должен указывать на путь, где лежать сертификаты и их хэшированные линки, которые создаются командой:
    ln -s somecert.crt `openssl x509 -hash -noout -in somecert.crt`.0

    В разных местах я видел разные файлы со скриптами, которые создают линки по всему каталогу.
    SSLCACertificateFile должен указывать на файл, где подряд идут PEM-формы сертификатов CA - без пробелов, без текстовых частей. Апач довольно капризен, лучше не экспериментировать.
    Ответ написан
    Комментировать
  • Как организовать доступ по сертификату на сервер?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    - Создать CA
    - Выпустить в нем сертификаты для пользователей
    - Настроить на сервере требование сертификата от определенного CA (вашего)
    - Раздать юзерам сертификаты
    - Предупредить об ответственности за имперсонацию (когда некто, знающий пароль от юзерского логина, получает доступ к профилю, в котором установлен сертификат и заходит на сайт, как если бы он был правильный юзер, то есть требование сильного пароля никто не отменял)
    Ответ написан
    Комментировать
  • Как обойти ERR_CERT_DATE_INVALID при настройке сайта в локальной сети?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Если нет необходимости использовать именно локальный сертификат - закажите его на LE - он как раз для таких случаев - для локальных, тестовых, дишманских серверов.
    Ответ написан
    Комментировать
  • Почему не работает https?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Если сайт "длля себя и подружек", то проще всего забыть про все эти самоподписанные сертификаты и воспользоваться LE (Let's Encrypt) - он как раз для этого годится. Как им воспользоваться - в тырнете сто тыщ мильенов инструкций.
    Если хочется таки разобраться - то ошибка возникает из-за того, что сертификат самоподписанный и доверия к нему нет. Для появления к нему доверия необходимо:
    1. Поместить сертификат в хранилище доверенных сертификатов (где это в бубунте, не знаю, обычно /etc/ssl/certs)
    2. Создать в хранилище доверенных сертификатов (см. выше по расположению) специальный файл-ссылку - их там должно быть огромная куча для стандартных сертификатов таким образом:
    cd /etc/ssl/certs
    ln -s yourcertfile.crt `openssl x509 -hash -noout -in yourcertfile.crt`.0
    Ответ написан
  • Как повысить привилегии в системе без sudoers?

    CityCat4
    @CityCat4 Куратор тега Информационная безопасность
    Внимание! Изменился адрес почты!
    Не имея рутовых прав - никак.
    Для скрипта - никак вообще, хоть с правами, хоть без них
    Для программы с правами - через setuid
    Ответ написан
    Комментировать
  • Как правильно создать самоподписанный сертификат для локального IP и заставить ему доверять?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Заставить доверять самоподписанному сертификату можно только поместив его в хранилище доверенных сертификатов. На каждом устройстве, на котором нужно доверие.

    Да, LE придумали вовсе не зря :)
    Ответ написан
  • Apache2 выдает ошибку при настройке ssl-сертификатов, В чем проблема?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    А что непонятно-то? Перевести не можете? Или подсказать адрес гуглотранслятора? :D
    Ответ написан
    Комментировать
  • Как организовать переключение сервисов с двумя и более провайдерами?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    BGP

    AS-ка берется в аренду у крупняка, Ваш провайдер, если достаточно толст (любой из них) запросто и аренду даст и настроить поможет. Но, в зависимости от модели микротика и от Вашего решения по fullview - возможно придется менять микротик на более производительную модель.

    Купить ASку можно, но посложнее будет.
    Ответ написан
    4 комментария
  • Почему на сервере вылетает ошибка Permission denied?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Я так полагаю, что лог пишется сервером? Значит юзеру, от имени которого работает сервер - нужно дать права на запись.

    man getfacl
    man setfacl
    Ответ написан
  • Какие подходы используются сейчас при построении веб-серверов?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Вам модно или безопасно? Докеры и кубернетесы - это модно-стильно-молодежно (так же как раньше были "облака"), но если они в задачу не лезут - незачем их туда тащить.
    Если же все-таки безопасно, то:
    - сначала полный (полный!, то есть включающий все без исключения старые сервера) бэкап - чтобы было куда вернуться.
    - потом идентификация всех имеющихся юзеров и всех, кто неизвестен - в бан
    - для всех, кто известен - смена паролей
    - Если есть возможность, ограничение ssh по ip и переход на аутентифкацию по ключу.
    - проверка всех торчащих наружу сервисов и отстреливание лишних
    - постепенная замена всех движков на их современные версии, обновление мускла
    Ответ написан
    Комментировать
  • Как запретить скачивание любых файлов с сервера?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Конечно можно. Отобрать у апача право на чтение файлов :)
    Ответ написан
    4 комментария
  • Зачем нужен файл apache2 javascript-common.conf и что он делает? Как работает?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Ерунда, не влияющая ни на что.

    Апач позволяет немыслимые извращения с конфигами, вот многие и пользуются.

    Если прочитать буквально, то получим следующее:
    "При обращении к элементу урла /javascript (i.e. www.zhopa/javascript/zadnica.js) искать файл zadnica.js в каталоге /usr/share/javascript"
    "На каталог /usr/share/javascript установить опцию MultiViews"

    Если нет каталога /usr/share/javascript или сами не создавали такой конфиг - ну уберите его куда подальше - скорее всего он никому не нужен.
    Ответ написан
    Комментировать