Apache Require / Require not

En tråd i 'Webutvikling' startet av Inge Vabekk, 3 Jul 2019.

  1. ronorio

    ronorio Active Member

    Innlegg:
    158
    Jeg foreslår du tester konfigurasjon på en ny instans eller server.

    Det er helt umulig å feilsøke uten tilgang til serveren eller mer informasjon.

    Hvis du velger brannmur-ruten kan du fint åpne port 80, samtidig blokkere uønsket trafikk på samme port. Det har aldri vært foreslått å deaktivere den.

    Når du sier NFS hva mener du da? Er dette filområder som er mountet eksternt, eller er det shares som kjøres på serveren?

    Er nødvendige porter åpnet? Da mener jeg har du sjekket hvilke systemet ditt er konfigurert til å bruke? Det kan variere fra system til system.
     
  2. Inge Vabekk

    Inge Vabekk New Member

    Innlegg:
    11
    Jeg har tre servere på bakrommet, og flytter server-funksjonen mellom dem etter behov. NFS er Network File System, og med UFW enablet får jeg ikke montert eksterne kataloger, selv om jeg har gjort alt det som står i dokumentasjonen at jeg skal gjøre. Serveren skal ikke ha kontakt med resten av lokalnettet unntatt når det tas backup. Da monteres de nødvendige katalogene og holdes åpne til backupen er ferdig.
    Port 22 og 80 er ikke noe problem. Port 22 kan jeg åpne for lokalnettet og lukke for ekstern tilgang.
    Ja, nødvendige porter er åpne. Alt virker som det skal, unntatt NFS når UFW er på, og "Require ip"/"Require not ip". "Require all denied" og "Require all granted" går helt som det skal, men da er enten alt stengt eller alt åpent, og det er jo ikke meningen. Jeg har ikke lyst til å belaste serveren med eget script for adgangskontroll selv om jeg utmerket godt kan gjøre det, da jeg kan fange opp absolutt alle henvendelser og sjekke dem ut. Flere roboter er gjengangere, og de har ingenting å gjøre på de aktuelle sidene, som er private og skal ikke finnes på søkemotorene.
    Jeg har gitt den informasjonen jeg mener skulle være tilstrekkelig: Hvordan jeg satte opp UFW, og hvilke moduler som er lastet i Apache. Jeg skulle gjerne hatt et konkret eksempel å gå ut fra. Hittil har jeg ikke funnet noe som setter ting i riktig sammenheng, så jeg har holdt på i flere uker uten å finne ut av det.
     
  3. ronorio

    ronorio Active Member

    Innlegg:
    158
    Vedr. NFS. Hvilken versjon bruker du? Er det NFS-server eller NFS-klient som feiler? Begge to?

    Hvilken port benytter til eks. rpc.mountd? Har du bundet denne til en spesifik port? Er den åpnet i UFW?

    I den tidligere posten din ser jeg at du ikke har åpnet for portmap, noe som vanligvis er nødvendig for NFS.

    Foreslår du Googler litt rundt NFS og Ubuntu/UFW og ser om du kan løse floken.

    Post hva du har satt opp i forhold til Apache. Mistenker noe er feil konfigurert.
     
  4. Inge Vabekk

    Inge Vabekk New Member

    Innlegg:
    11
    Jeg har disse portene merket portmap:
    sunrpc 111/tcp portmapper # RPC 4.0 portmapper
    sunrpc 111/udp portmapper
    rpc2portmap 369/tcp
    rpc 369/udp # Coda portmapper
    Jeg finner ikke noe for rpc.mountd, men her er for NFS:
    nfs 2049/tcp # Network File System
    nfs 2049/udp # Network File System

    Så lenge ruteren ikke er åpen for disse portene, ser jeg egentlig ikke hensikten med å stenge for dem i UFW. Serveren er koblet til internet gjennom en ruter som foreløpig er åpen kun for port 80 og IMAP/POP3-portene.

    Jeg har prøvd mye forskjellig for Apache, og jeg får ingen feilmelding ang. problemet med Require. Nå holder jeg på med en løsning med script som fanger opp alle forsøk på tilgang, men det krever mer prosessering og jeg regner den som midlertidig til jeg har fått det som jeg vil ha det. Jeg har en liste på ca. 1750 IP-grupper som skal få adgang, og søker gjennom en sortert liste for å finne ut om en IP-adresse ligger innenfor en gruppe.
    Her har jeg et eksempel på oppsettet mitt for en nettside. Dette oppsettet skal hindre alt annet enn lokal tilgang, men den stopper alt. Hvis jeg gjør det omvendt, altså bruker "granted" og "Require not" får alle tilgang.

    <VirtualHost *:80>
    ServerName dummy.no
    ServerAlias dummy *.dummy
    ServerAdmin XXXXX@YYYY.no
    DocumentRoot /home/WEB/html/dummy
    <Directory /home/WEB/html/dummy>
    Options Indexes FollowSymLinks
    AllowOverride All
    <RequireAll>
    Require all denied
    Require ip 127.
    Require ip 10.
    </RequireAll>
    </Directory>
    </VirtualHost>

    Mitt lokale nett ligger på 10.10.10.0/24 .
     
  5. ronorio

    ronorio Active Member

    Innlegg:
    158
    Vedr. Apache
    Hvilken konfigurasjonsfil er det du redigerer? 000-default.conf?

    Kode:
    <VirtualHost *:80>
    ServerName skrible.local
    ServerAdmin epost@skrible.local
    DocumentRoot /home/skrible/public_html/
    <Directory /home/skrible/public_html>
    Require host localhost
    Require ip 127.0.0.1
    Require ip 192.168.
    </Directory>
    </VirtualHost>
    Denne er testet på Centos 7.4 med Apache 2.4. Alle besøk fra localhost, 127.0.0.1 og 192.168. slipper gjennom, resten blir blokkert.

    Legg merke til at Require brukes for <Directory>, som i tidligere post/eksempel.
     
    Sist redigert: 10 Jul 2019

Del denne siden