pdadmin-forum

pdadmin-forum » Information » HowTo's » Sichere Verbindung zu PD-Admin per SSL » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (4): [1] 2 3 nächste » ... letzte » Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Sichere Verbindung zu PD-Admin per SSL
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
tim
Mitglied


Dabei seit: 04.03.2005
Beiträge: 6

Sichere Verbindung zu PD-Admin per SSL Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

###
### Achtung, diese Anleitung ist veraltet. Bitte gehen Sie wie in
### http://www.pdadmin-forum.de/thread.php?t...=4241#post21673
### beschrieben vor.
###


Bei der Standardinstallation wird über Port 80 auf das Interface zugegriffen. Das daß nicht das Wahre ist sollte klar sein, so klar wie die Paßwörter übermittelt werden, im Klartext!!
Um hier Abhilfe zu schaffen und den Zugriff generell auf eine verschlüsselte Verbindung zu bringen, dazu dieses kleine HowTo.

Zuerst brauchen wir ein eigenes Certificate, ein sogenanntes „self-signed certificate“!
In der Konsole geben wir folgende Befehle ein:

code:
1:
2:
3:
openssl genrsa -out server.key 1024
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 2000 -in server.csr -signkey server.key -out server.crt


Damit haben wir im Root- Verzeichnis zwei Certificate, den server.key und das server.csr.
Diese beiden Dateien kopieren wir z.B. in das Verzeichnis /var/www/cert/
Ich habe die Gültigkeit auf 2000 Tage gestellt, man will ja nicht jedes Jahr ein neues Certificate erstellen.
Das Certificate ist die Grundvoraussetzung für eine Verschlüsselung, die anderen Voraussetzungen stellen wir in der /etc/apache/httpd.conf ein

Zerst müsssen wir dem Indianer sagen das er nicht nur auf Port 80 lauscht sondern auch auf den Port 443!
In der httpd.conf (und natürlich auch in der httpd.conf-template) stellen wir folgendes ein:

Port 80
Listen 80
Listen 443

Mit diesem Eintrag hört der Indianer nun auch auf den Port 443 (der Port ist natürlich frei wählbar z.B. 444, 88 usw.)


Der nächste Eintrag behandelt den virtuellen Host! (Server IP natürlich richtig setzen)

code:
1:
2:
3:
4:
5:
<VirtualHost xxx.xxx.xxx.xxx:80>
DocumentRoot /var/www/
ServerName xxx.xxx.xxx.xxx
ServerAdmin admin@ihre-domain.de
</VirtualHost>
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
<VirtualHost xxx.xxx.xxx.xxx:443>
DocumentRoot /var/www/
ServerName xxx.xxx.xxx.xxx
ServerAdmin admin@ihre-domain.de
SSLEngine On
SSLCertificateFile /var/www/cert/deepsky.crt
SSLCertificateKeyFile /var/www/cert/deepsky.key
Alias /customer /opt/pdadmin/www/customer
Alias /administrator /opt/pdadmin/www/administrator
RewriteEngine On
RewriteRule /customer/sid/[a-z0-9]+/(.*) /opt/pdadmin/www/customer/$1
RewriteRule /administrator/sid/[a-z0-9]+/(.*) /opt/pdadmin/www/administrator/$1
Alias /phpmyadmin/ /var/www/phpmyadmin/
</VirtualHost>


Im ersten VHost Eintrag werden die Rewrite ausdokumentiert oder gelöscht, wir wollen ja erreichen, dass unsere Kunden „gezwungen“ werden auf unserem Server nur mit einer verschlüsselter Verbindung auf das Interface zu zugreifen. Auch ist ab jetzt das PhPMyAdmin- Interface für unsere Kunden auch nur noch über SSL erreichbar. (Alias /phpmyadmin/ /var/www/phpmyadmin/) unter den zweiten VHost Eintrag.


Jetzt brauchen wir nur noch den Indianer mit „apachectl graceful“ neu zu starten und das PD-Admin Interface ist ab sofort nur noch über https://admin.ihre.domain.de/customer oder https://ihre-domain.de/customer/ (administrator) zu erreichen. Natürlich auch über https://xxx.xxx.xxx.xxx/administrator (customer) erreichbar. Auf Port 80, also den unverschlüsselten Port ist das Interface nicht mehr zu erreichen.
Soll das Interface unseres Server auch auf Port 80 erreichbar sein, so muß der erste Eintrag um...
------------------------------------------------------
Alias /customer /opt/pdadmin/www/customer
Alias /administrator /opt/pdadmin/www/administrator
RewriteEngine On
RewriteRule /customer/sid/[a-z0-9]+/(.*) /opt/pdadmin/www/customer/$1
RewriteRule /administrator/sid/[a-z0-9]+/(.*) /opt/pdadmin/www/administrator/$1
------------------------------------------------------
erweitert werden. Damit ist allerdings wieder das Interface über den unverschlüsselten Port 80 erreichbar und unsere Arbeit ist zum Absurdum geworden.
Anzumerken ist hier noch... alle Änderungen auch in der „httpd.conf-template“ durchführen... sonst ist beim Anlegen einer neuen Domain alles weg... was man auch sogleich im PD-Admin Interface erfährt (https -Verbindung wird unterbrochen).

Mit diesen kleinen Eintragen werden unsere Daten verschlüsselt übertragen und setzt die Sicherheit unseres Server ein Zacken höher.

Quellenangabe: Sicherer Server mit Linux (O´Reilly, ISBN 3-89721-139-4)
Sicherheits Kochbuch (o´Reilly, ISBN 3-89721-371-0)
Internet

-------------

Vielen Dank an dieser Stelle an BerndK der dieses HowTo erstellt hat.

mfg Tim
26.03.2005 17:30 tim ist offline E-Mail an tim senden Beiträge von tim suchen Nehme tim in Deine Freundesliste auf
Twilo
Moderator


images/avatars/avatar-5.png

Dabei seit: 12.09.2004
Beiträge: 2.794
Herkunft: Berlin

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,

den Beitrag gab es doch schon mal, oder?
ich finde den zur Zeit nur nicht

mfg
Twilo

__________________
Wunschzettel smile
Farbtabelle
26.03.2005 17:42 Twilo ist offline Homepage von Twilo Beiträge von Twilo suchen Nehme Twilo in Deine Freundesliste auf
tim
Mitglied


Dabei seit: 04.03.2005
Beiträge: 6

Themenstarter Thema begonnen von tim
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hi,

habe hier auch nichts in der art finden können, deswegen hab ich ihn mal gepostet.

mfg Tim
26.03.2005 17:44 tim ist offline E-Mail an tim senden Beiträge von tim suchen Nehme tim in Deine Freundesliste auf

unregistriert
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Es ist allerdings sinnvoll, den Apachen nicht mit graceful zu restarten, sondern ihn zu stoppen und dann zu starten.

Hintergrund:
Nur wenn der Apache komplett gestoppt wird, liest er die Server-Zertifikate ein. Anderenfalls gibt es eine Fehlermeldung im error_log, die darauf hinweist.
05.06.2005 11:47
msnet
Mitglied


Dabei seit: 03.05.2005
Beiträge: 256
Herkunft: 46499 Hamminkeln

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ist diese Anleitung noch aktuell?
Falls nicht, könnte man vielleicht die erforderlichen Anpassungen vornehmen?

__________________
Viele Grüße,
Martin
29.11.2014 15:31 msnet ist offline E-Mail an msnet senden Beiträge von msnet suchen Nehme msnet in Deine Freundesliste auf Füge msnet in Deine Kontaktliste ein
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.329

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,

hier findest Du alle Informationen:

nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)
29.11.2014 15:49 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 423

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

nur bei der SSL einrichtung würde ich +SSLv3 rausnehmen Augenzwinkern
29.11.2014 21:38 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
Stefan3411
Mitglied


Dabei seit: 03.10.2010
Beiträge: 74

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Halllo,

doofe Frage:

code:
1:
In der httpd.conf (und natürlich auch in der httpd.conf-template) stellen wir folgendes ein:


Wo sind die Dateien?
15.05.2015 11:36 Stefan3411 ist offline E-Mail an Stefan3411 senden Beiträge von Stefan3411 suchen Nehme Stefan3411 in Deine Freundesliste auf
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.329

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Sie sind in /usr/local/pd-admin2/conf/
15.05.2015 13:22 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
Shackattack
Mitglied


Dabei seit: 16.11.2005
Beiträge: 302
Herkunft: Paderborn

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

nicht in der httpd.conf sondern nur in der template datei danach

code:
1:
/opt/pdadmin/bin/httpd_vhosts.pl


ausführen. Damit wird die httpd.conf neu generiert.
15.05.2015 18:03 Shackattack ist offline E-Mail an Shackattack senden Beiträge von Shackattack suchen Nehme Shackattack in Deine Freundesliste auf
Seiten (4): [1] 2 3 nächste » ... letzte » Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » Information » HowTo's » Sichere Verbindung zu PD-Admin per SSL

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de