Első webszerverem

Linux-kezdő

Sziasztok,
Úgy tűnik nagy fába vágtam a fejszémet. Szeretnék összehozni debian 4.0-án, egy webszervert.
A http://www.howtoforge.com/perfect_setup_debian_etch_p6 leírás alapján végül is fenn vann az apache – php5 –mysql. De nem nem tettem fel ISPConfig-ot és Proftp-vel sem foglalkoztam. És itt nagyon elakadtam, nem tudom, hogyan tovább.

Milyen config állományokat kell beállítanom?
Nem kérem, hogy hogyan, csak azt, hogy mely config fájlok lesznek a barátaim? A többit meg majd a Googleval csak meg találom. (vagy nem?) A tűzfal egyelőre azt hiszem még nem kérdés.

A helyzet, hogy úgy látom, hogy az apache dolgozik. Elbizonytalanít ugyananakkor a /etc/apache2/httpd.conf fájl üres. Ebben a mappában kell konfigurálni, vagy valahol máshol? (Gondolom, ha mégis itt kell, akkor mégse lesz ez rendben.) Vannak-e valamilyen előre elkészített beállítások a csomagban, amiből ki lehet indulni Ha igen, akkor melyiket javasoljátok?

Bármely kis nyommal is megelégszem, ami kibillent a mostani elbizonytalanodásomból!

  • 1522 megtekintés

( Skuzzy | 2008. 02. 18., h – 18:55 )

apache2.conf-ot nezd, illetve a /etc/apache2/site-availabel konyvtarakba illik pakolni a vhost-ok konfig file-jait. es a site-enable konyvtarba csinalni azokrol symlinket, amit szeretnel, hogy kirakjon az apache

( budacsik | 2008. 02. 18., h – 18:57 )

Az apache konfiguracios fajljai a /etc/apache2-ben van ha csomagbol telepitetted.
Nem neztem meg a linket amit mutattal, de gyanitom csomagbol telepitettel. Most nem tudom fejbol, de van ott tobb konfig fajl is nem csak a httpd.conf.

ps ax | grep apache
parancsal tudod megnezni, hogy fut e illetve
/etc/init.d/apache2 status

link

Tuzfalnak szvsz az iptables megismereset javaslom. Sok doksi van hozza, magyarul is, pl az ubuntu.hu-n, de sokkal kimeritobb doksikat talalsz angol nyelven.

Jo, hogy belevagsz, de nem tudod elkerulni a man es google parost es ne is akard :)

-
budacsik

- olvass sokat a temarol es utana johet a gyakorlati res
- azert, hogy minel tobbet megtudj arrol amit csinalsz, hogy ne csak csinald, hanem ertsd!
- 1.) kapcsolodo manual oldalak, apache homepage es google (apache howto, apache security, apache config ... barmi), ja es nezd a logokat, ha valamit nem ertesz benne azonnal nezd meg, mit jelent.

-
budacsik

Ha már itt tartunk, akkor a Joomla! már fenn van, de csak localhostrol működik úgy, ahogy én azt jónak képzelem pik-pakk. Távolról kb 60-70 mp, és csak mintha karakteres böngészővel nézegetném. Bár lehet, hogy utóbbi tulajdonságban ilyennek kell lennie?
Ezért tértem vissza az alapokhoz az elejére. Ezt előbb utóbb megtettem volna, így előbb lett... Szóval bár a mysql-re gyanakszom, de most már a legelső lépéstől az utolsóig mindent érteni akarok. És bocs, hogy nem ezzel a problémával kezdtem, de úgy gondolom, hogy, ha már mindent érteni fogok, addigre ez sem lesz kérdés. :)

( sany | 2008. 02. 18., h – 21:39 )

"akkor a Joomla! már fenn van, de csak localhostrol működik"

most nem debian-t nyúzom, de mandriva alatt a "gyári"(rpm) drupal configja
így néz ki. 


Alias /drupal /var/www/drupal

<Directory /var/www/drupal>
    Options +FollowSymLinks
    AllowOverride All
    Order allow,deny
    Allow from all
</Directory>

Így nem csak localhostról érhető el!
Joomla *.deb csomagból van fent?

szerk.:

"Bocs, pontosítanék. Belső hálózaton, másik gépről is jó!"

Akkor a portot kellene elérhetőve tenned a routeredben(ha van)

"Joomla! *.deb csomag"
Ha van ilyen megkeresem. Ha valaki tudná hol lelhető meg, akkor nyugodtan beelőzhet. Lehet, hogy ez a gond csak, mert ugye portforwarding már megvolt a routeren. Ez volt az utolsó értelmes és tudatos lépésen. :)

De annyi jó dolgot írtatok, hogy még az is lehet, hogy újrakezdem az egészet az elejéről. :) De az eddigi telepítést sem bánom, hisz többet tanultam vele, mint az elmúlt 2 év SuSe-val.

( maniac | 2008. 02. 18., h – 22:20 )

Szia!

En a telepitest a kovetkezo keppen ajanlom:
1. Minimal install, semmi elore benyomott dolog csak a standar systemet rakod fel a debian taskselnel.
2.Ha bebootoltal a rendszerbe, akkor felteszel egy tuzfalat - mivel internetes tukorrol telepit az ember alt. ugyis igy friss a rendszered. En ajanlom a shorewall-t. Annyira csinalod bonyolultta amennyire te szeretned :). Nagyon egyszeruen es jol konfiguralhato.
3. Ezek utan felteszel egy grsecet, pl. oscon csinal kernelpatcheket debian+grsec-kel. Ezzel lepatcheled a vanilla kernelt, es beallitgatod, van egy nagyon jo leiras a grsec-rol ilyen gyorstalpalo fele a grsec weboldalan, de itt a hupwiki-n is van egy eleg hasznalhato darab (mi az hogy) :).
4. Ha ezekkel vegeztel, akkor felteszel egy ssh-t, beallitgatod, aztan beallitod a tuzfalnak, hogy a 22-es vagy amelyik portot szanod neki engedje. Ha nagyon szeretned akkor egy hosts.allow es hosts.deny szerkesztesevel beallithatod, hogy honnan engedje csak, bar ha egy denyhosts-t beraksz, es rendesen frissited akkor nem lehet gaz. Termeszetesen csak 1-2 usernek engedj ssh hozzaferest, akinek nagyon muszaj.
5. Felrakod az apache2-t, es a libapache-mod-php5, mysql stb csomagot, ami kell neked. Emiatt is jo mar ha van elore tuzfalad, mert a mysql pl ilyenkor mar elindulgat es hat nem egy eletbiztositas mindenfelet kipakolni a netre. Foleg egy mysql-t, ballitatlanul :).
6. Mysql-nek adsz jelszot. mysqladmin -p root password uj_jelszo. (termeszetesen erdemes bonyolult jelszot adni ennek is mint a root, es user jelszavaknak, es ugyanakkor kulonbozot is toluk.
7. Az apache-t is beallitgatod, melyik interface-n figyeljen, milyen ip range-bol johet csatlakozas, termeszetesen felrakhatsz security modulokat, amelyek ajanlottak is egyebkent :).
Ha ezzel is vegeztel akkor ezt is kiengeded a tuzfalon, azon a porton/portokon amiket szeretnel neki adni.

Amugy:
/etc-ben vannak a konfig fileok. ha apache kell akkor /etc/apache2 konyvtar alatt van a httpd.conf. Aztan van a /etc/default konyvtar, ebben vannak benne a conf.d beallitasok, tehat olyanok, hogy elinduljon-e indulaskor, meg ilyenek. Nezegesdd vegig a konyvtarakat en azt ajanlom, az alap konfigokban nagyon sok magyarazat van, konnyen emeszthetoek, es egyszeruen faszak :).

Amugy az en ajanlasom amint latod annyi, hogy ne engedjunk ki semmi feleslegeset a netre, es amit kiengedunk csak azutan tegyuk miutan beallitottuk, es meggyozodtunk, hogy nem akkora lyukat tettunk a gepre, amin barmilyen mokuska dragas cuncifalatocska bebir jonni egy scripttel.

Ajanlom meg a webmin nevezetu programot is, szinten ugye tuzfallal vedve, es erdemes ezt a reszet inkabb ssh portforwarddal elerni.

Aki talal valami hibat az elgondolasomban kerem szoljon, legalabb en is tanulok, es a masik ember meg nem csinal hulyeseget az en felszolitasomra.

Meg valami: Joomla-hoz mostanaban eleg sok exploit jelent meg, ha jol lattam - nem hasznalom igy annyira nem kovettem figyelemmel. Inkabb valami biztonsagosabbat ajanlok pl. drupal, bar nem tudom mennyire fedi le az igenyeidet.

En csak belekotnyeleskednek maniac kollega amugy is nagyon jo hozzaszolasaba:

2. En azert ajanlom az iptables megismereset. Nem olyan ordongos az.

4. Meg nem art kenyelem es nagyobb biztonsag szempontjabol, ha beallitasz kulcsos bejelentkezest es azt hasznalod. Ebben segit az ssh-keygen. + en tuzfalbol es AllowUser sshd_config opcioval is korlatozom, hogy kik ferhetnek hozza, ezutan host.deny-vel is fogom (csak ezt eddig nem ismertem)

5. Igy igaz, sott, meg az sem art ha a konfiguracios allomanyok szerkesztesenek idejere amit lehetseges leallitasz (pl apache)

6. A bonyolult jelszot mindenki mashogy erti, persze en sem viszem tulzasba, de szerintem minimum:
- 10 karakter
- kis es nagybetu
- karakterek es szamok valtakozva
- lehetoleg ne ertelmes, szotari szo legyen
ez a negy nagyon alap dolog
- megengedett specialis karakterek (ez mar sokat dob rajta)
(Nem okoskodok, de valaki nem veszi komolyan ezeket. Senkit nem akarok megserteni!)

7. ezen felul nessus-t is feltehetsz ami segit bizonyos biztonsagi beallitasokban

-1 webmin
(tulsagosan sokad ad a kezedbe, en nem javaslom, ellustulsz tole, es nem hagy megismerni a rendszert :) SSH port forwardal valoban eros biztonsag erzeted lehet, de akkor is csak egy plusz tamadhato felulet amivel mindent megszerezhet a tamado.)

"Aki meg valami hibat talal az elgondolasomban ..."
Reszemrol szo sincs rola.
En is tanulok, sosem hagyom abba :)

Joomla: Igen igaz, en is olvastam, de azt is, hogy nem alapvetoen Joomla specifikus hibak ezek, de ebbe nem megyek bele (nem ertek hozza). En sem hasznalnam eles rendszeren. Inkabb magam elkezdtem megirni a sajat oldalam, amire oly keves idom van, es ha felnyomja par "lelketlen" ;), akkor remelem legalabb tanulok belole.

-
budacsik

( sany | 2008. 02. 19., k – 01:00 )

"webmin
(tulsagosan sokad ad a kezedbe, en nem javaslom, ellustulsz tole, es nem hagy megismerni a rendszert :) "

Nekem inkább ellentétes tapasztalatom van ezzel kapcsolatban.

Inkább sok csicsa dolgot ad és a finomított (részletezett) beállítások nélkül.
(Ez csak magán vélemény! :) )
pl:
Webminnel egy full mailservert lehetetlen felkonfigolni.
Abban az esetben ha csak ez az egy eszköz van a szerverhez véged van! :)
Mint a botnak. :D

"mezei" ssh(természetesen root login no) > nano, vi, mcedit stb.... sokkal eredményesebb.
Nem beszélve arról, hogy "látod" amit csinálsz.
Na nem "yastos" értelemben! :D

attila emléxel? (opensüsü vs postfix)

Nem mondom hogy nem lehet megoldani, de sokkal gyötrelmesebb(átláthatatlan)
azokon a látványos "beállító központokon" dolgozni.

Nem véletlenül mondják hogy: "ami mindenre jó, az nem jó semmire"

"Nekem inkább ellentétes tapasztalatom van ezzel kapcsolatban."
Keveset ad a kezedbe? Beállító felületen igen, de végülis bevallom, hgy ha jól emlékszem akkor minden esetben van lehetőség magát a konfigurációs állományt is szerkeszteni.
Én ellustulok tőle, mert amikor kipróbáltam, már észre sem vettem de mysql-t csak abbol adminoltam...

"Inkább sok csicsa dolgot ad és a finomított (részletezett) beállítások nélkül."
Hát, tény, hogy nehéz lenne mindent beleintegrálni a grafikus felületbe, de talán nem is a "minden" volt a céljuk a fejlesztőknek. Hanem az talán, hogy kevesebb szakértelemmel is be tudjanak állítani az emberek maguknak dolgokat.

attila emléxel? (opensüsü vs postfix)
Ezt kinek is? :)

-
budacsik

Célom az lenne, hogy képes legyek grafikus felület nélkül is boldogulni. Ám szembe kell néznem a tényekkel, hogy még kezdő vagyok a témában, és ha Google+man pároshoz még kapok valami mankót egy grafikus felülettől azt nem bámom. De azt sem szeretném, ha annak hiánya vagy ép megléte a biztonság rovására menne. Tudom élvezni azt is, ha grafikus felületen az alapot kialakítom, és utána manuálisan szerkesztgetem.

A webmin esetében a fentiek ismeretében a kérdés nem is annyira kérdés.
Viszont tűzfal esetében a fenti szempontoknak, melyik felel meg a legjobban? Vagy melyik passzol a legjobban a debian 4.0-hoz, hogy ne szívjak annyit, mégha bonyolultabb is. Iptables v. shorewall?

Az, hogy melyik tűzfal szerintem mindegy. Én nem ismerem a shorewall-t, de gyanítom az is iptables-t használ, csak grafikus felületen állíthatod fel a szabályokat. Tehát a shorewall is biztos jó, de mivel nem ismerem (én) nem ajánlom :)

Azért mert kezdő vagy még nem kell grafikus programokkal kezdeni, tévedés. Feltelepíted az apache-ot és beállítod. Majd feltelepíted újra és újra amíg magabiztosan nem tudod kezelni.

Tehát ha az a célod, hogy grafikus felület nélkül kezeld a dolgokat akkor ne is használj grafikus felületű dolgokat. Azok könnyítésnek vannak, nem tanulni.

-
budacsik

Oksa, és köszönöm. Azt hiszem nagyon sok jó irányvonalat mondtatok, ami minden kezdőnek jól jöhet. :)

"de gyanítom az is iptables-t használ, csak grafikus felületen"
Igen valami hasonlót olvastam róla. Azt mondják az egyszerűbb jobb, akkor ebben az esetben is, az iptables tűnik jobb választásnak (szvsz).