Fórum Root.cz

Hlavní témata => Server => Téma založeno: p3dr04444 30. 06. 2020, 08:55:48

Název: Apache nestartuje s HTTPS
Přispěvatel: p3dr04444 30. 06. 2020, 08:55:48
Zdravim
Mam debian 10 a nextcloud...
port 80 funguje v pohode ale pokusam sa rozbehnut 443
isiel som podla navodu:
https://www.youtube.com/watch?v=NDX5KmWWc58
certifikaty dva vygenerovane presunute kde maju byt...
len pri restarte apache mam uplne inu chybu ako v navode nie je.... a uz mi prestalo ist aj port 80 cize usudzujem chyba v nastaveni:
mam tam toto:

Kód: [Vybrat]
<VirtualHost *:80>
     ServerAdmin admin@example.com
     DocumentRoot /var/www/html/nextcloud/
     ServerName nextcloud.example.com

     Alias /nextcloud "/var/www/html/nextcloud/"

     <Directory /var/www/html/nextcloud/>
        Options +FollowSymlinks
        AllowOverride All
        Require all granted
          <IfModule mod_dav.c>
            Dav off
          </IfModule>
        SetEnv HOME /var/www/html/nextcloud
        SetEnv HTTP_HOME /var/www/html/nextcloud
     </Directory>

     ErrorLog ${APACHE_LOG_DIR}/error.log
     CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

<VirtualHost *:443>
ServerAdmin admin@example.com
     DocumentRoot /var/www/html/nextcloud/
     ServerName nextcloud.example.com

     Alias /nextcloud "/var/www/html/nextcloud/"

     <Directory /var/www/html/nextcloud/>
        Options +FollowSymlinks
        AllowOverride All
        Require all granted
          <IfModule mod_dav.c>
            Dav off
          </IfModule>
        SetEnv HOME /var/www/html/nextcloud
        SetEnv HTTP_HOME /var/www/html/nextcloud
     </Directory>

     ErrorLog ${APACHE_LOG_DIR}/error.log
     CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLEngine on
SSLCertificateFile /etc/apache2/cert/cert.pem
SSLCertificateKeyFile /etc/apache2/cert/key.pem

</VirtualHost>


zatial dns nazov este nemam mne staci pristupovat cez lokalnu ip adresu....
apache pri restarte vyhadzuje:

Kód: [Vybrat]
root@debian:~# /etc/init.d/apache2 restart
[....] Restarting apache2 (via systemctl): apache2.serviceJob for apache2.service failed because the control process exited with error code.
See "systemctl status apache2.service" and "journalctl -xe" for details.
 failed!

co moze byt zle?

za odpoved vopred dakujem
Název: Re:ssl problem apache2
Přispěvatel: Miroslav Šilhavý 30. 06. 2020, 09:12:36
See "systemctl status apache2.service" and "journalctl -xe" for details.
Název: Re:ssl problem apache2
Přispěvatel: ETNyx 30. 06. 2020, 09:12:51
root@debian:~# /etc/init.d/apache2 restart
[....] Restarting apache2 (via systemctl): apache2.serviceJob for apache2.service failed because the control process exited with error code.
See "systemctl status apache2.service" and "journalctl -xe" for details.
 failed!

Ahoj, buď jsem to přehlédl a nebo jsi neudělal co ti radí a nenapsal nám to?

Citace
systemctl status apache2.service
Citace
journalctl -xe
a nebo taky užitečný,...
Citace
apache2ctl configtest
Název: Re:ssl problem apache2
Přispěvatel: p3dr04444 30. 06. 2020, 10:28:17
root@debian:~# /etc/init.d/apache2 restart
[....] Restarting apache2 (via systemctl): apache2.serviceJob for apache2.service failed because the control process exited with error code.
See "systemctl status apache2.service" and "journalctl -xe" for details.
 failed!

Ahoj, buď jsem to přehlédl a nebo jsi neudělal co ti radí a nenapsal nám to?

Citace
systemctl status apache2.service
Citace
journalctl -xe
a nebo taky užitečný,...
Citace
apache2ctl configtest

vazne diki za tvoje nakopnutie... configtest mi jane povedal kde je chyba hodil do googla a vyhodilo ze este musim spustit:

sudo a2enmod ssl

dal som a uz vsetko funguje ako dive :)
je to aj v tom videu len som to prehliadol vazne prepracovanost asi :) dakujem za vasu rychlu radu aspon viem ako si pozriem chybu v apache... este raz dakujem...
Název: Re:Apache nestartuje s HTTPS
Přispěvatel: ETNyx 30. 06. 2020, 10:36:27
Není zaco, osobně doporučuji u apache vždycky před restartem udělat configtest, může ušetřit spoustu nervů :-)
Název: Re:Apache nestartuje s HTTPS
Přispěvatel: p3dr04444 28. 07. 2020, 21:48:32
Není zaco, osobně doporučuji u apache vždycky před restartem udělat configtest, může ušetřit spoustu nervů :-)

riesim este jednu otazku pretoze vsetko mi uz funguje ale otravuje ma ze pri restarte masiny potom musim zadavat heslo do apache aby vedel otvorit ssl certifikat...

kukal som google a su dva sposoby ako to vyriesit:
https://askubuntu.com/questions/500371/how-to-make-apache-2-stop-asking-for-a-password-for-an-ssl-certificate

bud heslo odstranim ale to nei je moc bezpecne alebo spravim skript len to som akosi z toho manualu nepochopil...

co odporucate?
v tej masine mam len jeden ssl pretoze to je virtual len presne pre jednu sluzbu a nikto iny nema pristup k tomu ssl certifikatu tak uvazujem ze ci nebude najjednoduchsie vazne dat len to heslo prec alebo pre bezpecnost vazne stoji za to potrapenie vytvorit skript ktory to heslo zada do apache ako je spominane v druhom navode?
Název: Re:Apache nestartuje s HTTPS
Přispěvatel: Filip Jirsák 28. 07. 2020, 22:36:30
Uložte ten privátní klíč bez hesla a nastavte tomu souboru jen právo pro čtení uživatelem, pod kterým běží Apache. Apache stejně přístup k tomu privátnímu klíči mít bude, takže bezpečnost se tím sníží jen minimálně – oproti variantě s heslem je tam jediný vektor útoku navíc, a  to kdyby útočník mohl v rámci procesu webového serveru číst soubor ale nemohl by číst paměť procesu. To za tu práci se zaheslovaným klíčem nestojí.
Název: Re:Apache nestartuje s HTTPS
Přispěvatel: p3dr04444 29. 07. 2020, 21:23:54
Uložte ten privátní klíč bez hesla a nastavte tomu souboru jen právo pro čtení uživatelem, pod kterým běží Apache. Apache stejně přístup k tomu privátnímu klíči mít bude, takže bezpečnost se tím sníží jen minimálně – oproti variantě s heslem je tam jediný vektor útoku navíc, a  to kdyby útočník mohl v rámci procesu webového serveru číst soubor ale nemohl by číst paměť procesu. To za tu práci se zaheslovaným klíčem nestojí.

vidis super riesenie...
dal som teda ze len root moze citat a root skupina a tym padom sa ta iny nedostane a root to potrebuje pretoze pod nim mi ide apache...

inak pre ostatnych prikaz na odstranenie hesla:
You want to remove the passphrase from a key file. Run this:

openssl rsa -in key.pem -out newkey.pem
Be aware that this means that anyone with physical access to the server can copy (and thereby abuse) the key.
Název: Re:Apache nestartuje s HTTPS
Přispěvatel: Filip Jirsák 30. 07. 2020, 08:08:12
root to potrebuje pretoze pod nim mi ide apache...
Doufám, že je to jen nepřesné vyjádření, a že pod rootem Apache startuje a připojí se k socketu, ale pak se oprávnění zbaví a dál už běží pod jiným uživatelem. Tj. že používáte konfigurační volby User a Group.
Název: Re:Apache nestartuje s HTTPS
Přispěvatel: p3dr04444 30. 07. 2020, 10:30:01
root to potrebuje pretoze pod nim mi ide apache...
Doufám, že je to jen nepřesné vyjádření, a že pod rootem Apache startuje a připojí se k socketu, ale pak se oprávnění zbaví a dál už běží pod jiným uživatelem. Tj. že používáte konfigurační volby User a Group.

no presnejsie bezi ked dam top tak vidim ze bezi pod uzivatelom w.... ale na ssl certifikat som dal len povolenie pre rooot a root skupinu cize pravdepodobne to mam ako pises apache sa pomocou root nastartuje ale pak bezi pod userom... ak sa mylim ma opravte...
Název: Re:Apache nestartuje s HTTPS
Přispěvatel: Filip Jirsák 30. 07. 2020, 10:50:20
no presnejsie bezi ked dam top tak vidim ze bezi pod uzivatelom w.... ale na ssl certifikat som dal len povolenie pre rooot a root skupinu cize pravdepodobne to mam ako pises apache sa pomocou root nastartuje ale pak bezi pod userom... ak sa mylim ma opravte...
Nejlepší je podívat se do konfiguračního souboru, zda tam máte nastavené ty volby User a Group. Ale pokud ve výpisu procesů vidíte u Apache jiného uživatele, než root, je to správně.
Název: Re:Apache nestartuje s HTTPS
Přispěvatel: p3dr04444 31. 07. 2020, 07:32:17
no presnejsie bezi ked dam top tak vidim ze bezi pod uzivatelom w.... ale na ssl certifikat som dal len povolenie pre rooot a root skupinu cize pravdepodobne to mam ako pises apache sa pomocou root nastartuje ale pak bezi pod userom... ak sa mylim ma opravte...
Nejlepší je podívat se do konfiguračního souboru, zda tam máte nastavené ty volby User a Group. Ale pokud ve výpisu procesů vidíte u Apache jiného uživatele, než root, je to správně.

nasiel som tam taketo nieco takze asi to bude good:

export APACHE_RUN_USER=w...
export APACHE_RUN_GROUP=w...
Název: Re:Apache nestartuje s HTTPS
Přispěvatel: Milan Cagap 31. 07. 2020, 14:46:07
no presnejsie bezi ked dam top tak vidim ze bezi pod uzivatelom w.... ale na ssl certifikat som dal len povolenie pre rooot a root skupinu cize pravdepodobne to mam ako pises apache sa pomocou root nastartuje ale pak bezi pod userom... ak sa mylim ma opravte...
Nejlepší je podívat se do konfiguračního souboru, zda tam máte nastavené ty volby User a Group. Ale pokud ve výpisu procesů vidíte u Apache jiného uživatele, než root, je to správně.

nasiel som tam taketo nieco takze asi to bude good:

export APACHE_RUN_USER=w...
export APACHE_RUN_GROUP=w...

V debiane by default bezi Apache pod uzivatelom www-data a skupina www-data. Pokial si v konfiguracii apacha nezvolis ineho uzivatela. Mozes si to overit aj cez prikaz
Citace
ps -u www-data
  a vysledok by mal vypadat nejak tatko:

Citace
web# ps -u www-data
  PID TTY          TIME CMD
 1200 ?        00:00:00 apache2
 1205 ?        00:00:00 apache2
20776 ?        00:00:00 apache2
31606 ?        00:00:00 apache2
Název: Re:Apache nestartuje s HTTPS
Přispěvatel: p3dr04444 31. 07. 2020, 20:59:38
no presnejsie bezi ked dam top tak vidim ze bezi pod uzivatelom w.... ale na ssl certifikat som dal len povolenie pre rooot a root skupinu cize pravdepodobne to mam ako pises apache sa pomocou root nastartuje ale pak bezi pod userom... ak sa mylim ma opravte...
Nejlepší je podívat se do konfiguračního souboru, zda tam máte nastavené ty volby User a Group. Ale pokud ve výpisu procesů vidíte u Apache jiného uživatele, než root, je to správně.

nasiel som tam taketo nieco takze asi to bude good:

export APACHE_RUN_USER=w...
export APACHE_RUN_GROUP=w...

V debiane by default bezi Apache pod uzivatelom www-data a skupina www-data. Pokial si v konfiguracii apacha nezvolis ineho uzivatela. Mozes si to overit aj cez prikaz
Citace
ps -u www-data
  a vysledok by mal vypadat nejak tatko:

Citace
web# ps -u www-data
  PID TTY          TIME CMD
 1200 ?        00:00:00 apache2
 1205 ?        00:00:00 apache2
20776 ?        00:00:00 apache2
31606 ?        00:00:00 apache2

presne tka to mam od defaultu ako si napisal :)
a kedze som ssl certifikat dal len pre root a root skupinu tak to funguje presne kao si napisal pod rootom si len zoberie konfiguracne subory a pak uz bezi pod ww....
Název: Re:Apache nestartuje s HTTPS
Přispěvatel: Milan Cagap 03. 08. 2020, 13:40:48
V debiane by default bezi Apache pod uzivatelom www-data a skupina www-data. Pokial si v konfiguracii apacha nezvolis ineho uzivatela. Mozes si to overit aj cez prikaz
Citace
ps -u www-data
  a vysledok by mal vypadat nejak tatko:

Citace
web# ps -u www-data
  PID TTY          TIME CMD
 1200 ?        00:00:00 apache2
 1205 ?        00:00:00 apache2
20776 ?        00:00:00 apache2
31606 ?        00:00:00 apache2
[/quote]

presne tka to mam od defaultu ako si napisal :)
a kedze som ssl certifikat dal len pre root a root skupinu tak to funguje presne kao si napisal pod rootom si len zoberie konfiguracne subory a pak uz bezi pod ww....
[/quote]

Osobne som s ssl certifikatmi nemal prolem aj ked ich vlastnil root. Kedze apache si config suid-ne pod www-data pri spusteni procesu a tahani vsetkych modulov. Akurat si musis vsetky potrebne moduli zapnut cez a2enmod. Kedze od urciteho casu sa v debiane ssl a ine moduli po instalacii apache2 nezapnu.