Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- manuals:apache-reverse-proxy-manual [2017/10/10 19:58] – paulg4h
+++ manuals:apache-reverse-proxy-manual [2018/01/09 00:13] (aktuell) – [Letsencrypt --> Kostenloses https Zertifikat] admin
@@ Zeile 11: / Zeile 11: @@
 ===== Voraussetzungen =====
-  * Linux Rechner in diesem Fall ein Raspberry PI mit Rasbian welcher auf dem aktuellen Stand vom März 2014 ist und 24/7 Online ist.
+  * Linux Rechner mit Raspbian / Debian und 24/7 Online ist.
   * Mit einer Statischen IP Adresse oder einer Reservierung in ihrem DHCP Server (meist der Router / Firewall) immer unter der gleichen IP Adresse erreichbar ist.
   * Einen Router / Firewall mit einer fixen IP Adresse oder einem Dynamischen DNS Dienst (DynDNS der Bekannteste ist inzwischen kostenlos nicht mehr nutzbar aber es gibt je nach Router / Firewall auch noch andere immer noch Kostenlose Anbieter) und einer Port Weiterleitung vom Port 443 (https) auf die Interne Adresse des Linux Rechners.
@@ Zeile 23: / Zeile 23: @@
 Diese ist abhängig vom Kennwort das Sie wie hier in dieser Anleitung Beschrieben für den Zugriff vergeben!
-===== Vorbereitung =====
+Zur Erhöhung der Sicherheit sei noch das fail2ban Paket unter Linux empfohlen welches auch in dieser Anleitung erklärt wird und eine "brute-force" attacke auf die Dienste verhindert!
-==== Raspberry PI ====
+===== Vorbereitung Raspbian / Debian 9 =====
-=== System Aktualisieren und Pakete Installieren ===
+==== Installation ====
+=== System Aktualisieren ===
 Zuerst bitte das System auf den neuesten stand bringen mit:
-  sudo aptitude update && aptitude upgrade -y
+  sudo aptitude update && aptitude dist-upgrade -y
+=== Pakete Installieren ===
 Dann müssen folgende Pakete Installiert werden:
-  sudo aptitude install apache2 apache2-utils libapache2-mod-proxy-html vim -y
+  sudo aptitude install apache2 apache2-utils libapache2-mod-rpaf vim apache2-utils -y
 === Apache Module aktivieren ===
 Dann müssen folgende Module im Apache aktiviert werden:
-  sudo a2enmod ssl rewrite proxy proxy_http
+  sudo a2enmod ssl headers rewrite proxy proxy_http
-==== Debian 9 =====
+==== Einrichtung ====
+==== Letsencrypt --> Kostenloses https Zertifikat====
+=== Apache Paket Installieren ===
+  sudo aptitude install python-letsencrypt-apache
+=== Apache default SSL config ===
+Eine Gültige ssl config mit dem DNS namen (ServerName in apache config) unter welchem der Reverse Proxy aus dem Internet erreichbar ist anlegen (mit dem Standard Snakeoil SSL Zertifikat reicht!)
+  sudo vi /etc/apache2/sites-available/<dns name>.<endung>.conf
+mit folgendem Inhalt anlegen:
+<code>
+<IfModule mod_ssl.c>
+        <VirtualHost _default_:443>
+                ServerAdmin webmaster@localhost
+                ServerName <dns name>.<endung>
+                DocumentRoot /var/www/html
+                ErrorLog ${APACHE_LOG_DIR}/error.log
+                CustomLog ${APACHE_LOG_DIR}/access.log combined
+                SSLEngine on
+                SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem
+                SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
+        </VirtualHost>
+</IfModule>
+</code>
+Diese Seite aktivieren mit:
+  a2enside <dns name>.<endung>.conf
+Apache neu starten mit:
+  systemctl restart apache2.service
+=== Port Forwarding im Router ===
+auf die FIXE IP des Raspberry TCP Port 443 Einrichten (je nach Modell Unterschiedlich --> Google it!)
+=== Zertifikat installieren ===
+Folgenden Befehl Interaktiv ausführen
+  letsencrypt
+und die Domäne auswählen für die das Zertifikat erstellt werden soll.
+Nach der eingabe einer Mail Adresse unter der sie Benachrichtigt werden können falls es Fragen wengen dem Zertifikat gibt wird dies erstellt und die Abfrage ob sie auch http auf https umleiten wollen können sie beantworten wie sie möchten.
+=== Cronjob zum Automatischen Aktualisieren ===
+Jeden Sonntat um 1 Uhr Morgens wird Versucht das Zertifikat zu erneuern was aber erst nach 4 Wochen gemacht wird.
+<code>
+  * 1 * * 1 /usr/bin/letsencrypt -q renew
+</code>
+Nach dem neustarten vom Apache sollte wenn sie den DNS Namen aufrufen das gültige Zertifikat vom Browser angezeigt werden.
+==== HTTPS Basic Authentication einrichten ====
+=== Ordner für Zertifikate erstellen ===
+  sudo mkdir /etc/apache2/ssl
+=== Benutzer erstellen ===
+Jetzt erstellen wir eine Kennwort Datei
+  sudo htpasswd -c /etc/apache2/ssl/httpsusers admin
+Wobei der Benutzername angepasst werden kann und dann zweimal das Kennwort für den Benutzer bestätigt werden muss.
+Wenn ein weiterer Benutzer erstellt werden soll muss der Befehl so aussehen
+  sudo htpasswd /etc/apache2/ssl/httpsusers Benutzername
+=== Authentifizierung im Apache einbinden ===
+Nun kann die /etc/apache2/sites-available/<dns name>.<endung>.conf Erweitert werden um:
+<code>
+ <Location />
+      AuthType basic
+      AuthName "home"
+      AuthUserFile  /etc/apache2/ssl/httpsusers
+      Require valid-user
+  </Location>
+  <Directory /var/www/html/>
+      Options Indexes FollowSymLinks MultiViews
+      AllowOverride All
+      Require all granted
+  </Directory>
+</code>
+Als nächstes empfehle ich fail2ban zu Installieren und aktivieren (siehe unten)
+Nun können die Blöcke von unten mit den Konfigurationen für die Dienste an die Datei /etc/apache2/sites-available/<dns name>.<endung>.conf angefügt werden
+===== ALT Vorbereitung Raspbian / Debian 7 und 8 =====
+=== System Aktualisieren und Pakete Installieren ===
+=== System Aktualisieren ===
 Zuerst bitte das System auf den neuesten stand bringen mit:
-  sudo aptitude update && aptitude upgrade -y
+  sudo aptitude update && aptitude dist-upgrade -y
+=== Pakete Installieren ===
 Dann müssen folgende Pakete Installiert werden:
-  sudo aptitude install apache2 apache2-utils libapache2-mod-rpaf vim apache2-utils -y
+  sudo aptitude install apache2 apache2-utils libapache2-mod-proxy-html vim -y
 === Apache Module aktivieren ===
 Dann müssen folgende Module im Apache aktiviert werden:
-  sudo a2enmod ssl headers rewrite proxy proxy_http
+  sudo a2enmod ssl rewrite proxy proxy_http
 ==== SSL (https) Zufriff für den Apache Einrichten ====
@@ Zeile 145: / Zeile 244: @@
   sudo service apache2 reload
 Wenn wir nun die Webseite erneut per https aufrufen werden wir nach Benutzernamen und Kennwort gefragt und sehen die Seite erst nach eingabe von unseren oben erstellten Benutzernamen / Kennwort.
+====== Proxy Konfigurations Blöcke ======
 ===== Proxy für Homematic CCU =====
 Dazu editieren wir wieder die datei
@@ Zeile 607: / Zeile 708: @@
   sudo vi /etc/fail2ban/jail.d/defaults-debian.conf
-Und die Apache Auth Rule aktivieren indem folgende Zeilen dort angefügt werden:
+Und die Apache Auth Rule aktivieren indem folgende Zeilen dort angefügt werden damit die Datei so aussieht:
-  [apache-auth]
+<code>
-  enabled = true
+[sshd]
+enabled = true
+[apache-auth]
+enabled = true
+[apache-noscript]
+enabled = true
+[apache-overflows]
+enabled = true
+[apache-nohome]
+enabled = true
+[apache-botsearch]
+enabled = true
+[apache-fakegooglebot]
+enabled = true
+[apache-modsecurity]
+enabled = true
+[apache-shellshock]
+enabled = true
+</code>
 Dann den fail2ban Dienst neustarten mit:
@@ Zeile 810: / Zeile 937: @@
   service apache2 reload
-====== Letsencrypt =======
-===== Apache Paket Installieren =====
-  sudo aptitude install python-letsencrypt-apache
-===== Einrichten =====
-Reihenfolge beachten!
- - zuerst eine Gültige ssl config mit dem DNS namen (ServerName in apache config) unter welchem der Reverse Proxy erreichbar ist anlegen (mit dem Standard Snakeoil SSL Zertifikat reicht!)
- - a2enside <ssl>.config und den Apache neu starten
- - Port Forwarding im Router auf die FIXE IP des Raspberry TCP Port 443 Einrichten
- - letsencrypt Ausführen und die Domäne auswählen für die das Zertifikat erstellt werden soll.
-=== Cronjob zum Automatischen Aktualisieren ===
-  * 1 * * 1 /usr/bin/letsencrypt -q renew

Unterschiede

LXCCU

Diverse Anleitungen

Symcon

Homebrew Devices