Lighttpd és https, biztonságos wan felöli elérés
(3 szavazat, átlagosan: 5)
Loading ...Posted by r0by in Tutorial on 2009 feb.01
Következő pár sor arról fog szólni, hogy hogyan is izzítsuk be a https lehetőségét lighttpd alatt. Természetesen ehhez szükség van a lighttpd tökéletes működésére is 
, így aki még hiányosságokkal küszködik e-téren, annak itt lehet egy megoldás a telepítésre.
Akinek esetleg nem teljesen tiszta , hogy mi a frász ez a https, annak itt egy rövid kis leírás a wikipédiáról: https, vagy a hupviki-ről egy másik: SSL
Első lépésként, ha még nincs fent az openssl csomag, akkor telepítsük fel:
ipkg install openssl
Ezután le kell gyártanunk a kulcsot az /opt/var/run könyvtárba.
cd /opt/var/run
openssl req -new -x509 -keyout lighttpd.pem -out lighttpd.pem -days 3650 -nodes
Pár szösszenet után meglesz a kulcsunk, utána pedig pár kérdésre kell válaszolnunk. A biztonság miatt nem érdemes megadnunk könnyen beazonosítható adatokat. Csak simán végig enterezhetjük a sorokat.
Most kb. valami ilyet kell látnunk:
Most nyissuk meg kedvenc szerkesztőnkkel a lighttpd.conf állományt szerkesztésre.Adjuk hozzá az alábbi pár sort:
$SERVER["socket"] == ":443" {
#### SSL engine
ssl.engine = "enable"
ssl.pemfile = "/opt/var/run/lighttpd.pem"
server.document-root = "/opt/etc/samba/Share/www_https"
}
Pár szó a fenti sorokról:
- ssl.pemfile : ide az első lépésben legyártott kulcsunk elérési útját kell megadnunk
- server.document-root: ez lesz a document root, amit majd a https alól látni szeretnél
- Ha valami nem világos, akkor érdemes meglátogatni az alábbi oldalt :lighttpd ssl docs
Most indítsuk újra a lighttpd-t, hogy érvénybe lépjenek az új beállításaink:
/opt/etc/init.d/S80lighttpd restart
Ha sikeresen elindult, akkor adjuk ki a következő parancsot:
netstat -l | grep https
Ha ilyen kimenetet látunk, akkor minden oké, a lighttpd kész a https kapcsolat kiépítésére:
De azért győződjünk meg róla, írjuk be a böngésző címsorába:
https://asus
Az asus helyett mindenki a sajátját írja be.
Ha ilyesmit látunk Firefox alatt, akkor jól dolgoztunk:
Most már nincs más hátra, a tűzfalon is engedélyezni kell a 443-as (https) portot, ha kívülről is el szeretnénk érni; az alábbi két sor hozzáfűzésére lesz szükség:
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -i "$1" -p tcp --dport 443 -j DNAT --to-destination "$4":443
Join the forum discussion on this post - (1) Hozzászólások 
Loading ...
Frankó!
Erre van szükségem!
Felment csont nélkül. Létrehoztam a dokumentum root könyvtárat. Átmozgattam ide a phpmyadmin könyvtárat. Próbáltam belépni, a phpmyadminba. Jött a szokásos, A webhely tanúsítványa hibás oldal, majd továbblépve nem találja az oldalt!
Kell még valamit faragni rajta, hogy menjen?
Most próbáltam a phpmyadmint, csont nélkül megy, kívülről is.
A phpmyadmin biztos a https document root-jában van? Jó az url amit beírsz?
Nézz egy lighttpd logot, abból sok minden kiderülhet.
Két féle üzenet van a logban. Tördelve írom be. Valószinűleg az rtorrent is ezért nem megy.
2009-02-01 19:58:43: (mod_fastcgi.c.2618) FastCGI-stderr: PHP Warning: fsockopen()
[function.fsockopen]: unable to connect to 127.0.0.1:5000
(Connection refused) in /tmp/mnt/disc1_1/bb/www/rtorrent/util.php on line 102
A másik:
2009-02-01 21:11:27: (server.c.921) WARNING: unknown config-key: scgi.server (ignored)
Annyit hozzátennék, hogy ha már SSl kapcsolatot használunk akkor érdemes felhasználónevet és jelszót is kérni (én ezen keresztül használom az rtorrent webui-t).
Ezt úgy tudjuk megtenni, hogy a lighttpd.conf -hoz hozzáadunk pár sort.
auth.backend = “htdigest”
auth.backend.htdigest.userfile = “/opt/etc/lighttpd/.passwd”
auth.require = ( “/rtorrent” =>
(
“method” => “digest”,
“realm” => “WL500gP”,
“require” => “valid-user”
),
“/aega” =>
(
“method” => “digest”,
“realm” => “WL500gP”,
“require” => “valid-user”
)
)
Ugye itt a szerver root mappához képest kell megadni, hogy mely mappákra kérünk azonosítást.
Ezután létre kell hozni a “.passwd” file-t és hozzá kell adni a usereket.
htdigest -c /opt/etc/lighttpd/.passwd WL500gP tom
Itt a WL500gP a realm amit a lighttpd.conf-ban megadtunk, ennek egyezni kell és tom pedig a user akit hozzáadtunk. A jelszóra rákérdez magától.
És kész is, újraindítjuk a lighttpd szervert és működnie is kell. Nálam legalábbis működik.
Ja még ha az
auth.require = ( “/” =>
akkor azt hiszem az egész server.document-root -ra jelszót kér.
Meg a
“require” => “valid-user”
helyett meg lehet adni konkrét felhsználót is akkor csak ő fér hozzá egyébként minden felhasználó aki a .passwd-ben szerepel. Pl.:
“require” => “user=addel”
Na a legfontosabbat lefelejtettem.
Kell még hozzá engedélyezni a server_modules -nál a “mod_auth” -ot , ez valahol a config fájl elején van.
A következőkben éppen ezt szerettem volna megírni, de sajna az időhiány nagy úr. De ami késik nem múlik
bb: a lighttpd.conf-ba nézd meg az scgi.server sort, valami szerintem el lett gépelve.
@Addel:
htdigest apache csomag telepítésével megy fel csak? mert engem “-sh: htdigest: not found” hibával visszadob.
Azt hiszem igen, de úgy emlékszek én nem telepítettem fel hanem csak kiszedtem belőle a htdigest-et és bedobtam a /opt/sbin -be.
Betehetnék a lighttpd-be is amúgy , nem értem miért nincs benne.
Erre gondolsz?
scgi.server = ( “/RPC2″ => ( “127.0.0.1″ => ( “host” => “127.0.0.1″, “port” => 5000, “check-local” => “disable”)))
Úgy gondolom, hogy ez oké!
Viszont ha configfájlban kiveszem a kommentet a fastcgi.server rész elől, akkor nem indul a lighttpd!
Itt a hibaüzenet!
http://kepfeltoltes.hu/view/090202/fastcgi_www.kepfeltoltes.hu_.png
Ha újra visszateszem a kommenteket, akkor megy!
Erre gondoltam, elvileg oké, de azért ellenőrizd le, hogy a macskaköröm tényleg macskaköröm-e.
Az újabb hibaüzi szerint pedig kétszer van benne a konfigurációs változó?
Pontosan ez van benne, mert cat-al, átirányítottam fájlba, majd ide beillesztettem.
Azt, hogy duplán van benne változó megfejtettem, de nem tudom az okát!
Egyébként Ecaddict javított scriptjét használom.
Lehet, hogy ez a baj?
van egy ilyen sor a lighttpd.conf-ban:
include_shell “cat /opt/etc/lighttpd/conf.d/*.conf”
ezt kommentezd ki.
Köszi!
A https alatt szépen megy az phpmyadmin.
Az rtorrent viszont továbra sem.
Majd ott kérdezek!
ha csak opt/sbinbe megy manuálban a htdigest, akkor még szükség van erre a parancsra is: ipkg install apr-util
A htdigest nelkul nem megy?
… [Trackback] …
[...] Read More: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Read More: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] There you will find 61315 more Infos: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Informations on that Topic: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Read More: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Informations on that Topic: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Read More: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Informations on that Topic: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Informations on that Topic: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Read More: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Read More here: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Informations on that Topic: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Read More here: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Read More here: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …
… [Trackback] …
[...] Informations on that Topic: asus.ebond.hu/2009/02/01/lighttpd-es-https-biztonsagos-wan-feloli-eleres/ [...] …