Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: NiceMan - 02.06.19 - klo:19.55
-
Eli ongelmana on että kotiservulla sivuille pääsee käsiksi HTTPS:// mutta HTTP:// ei toimi....
Ehdotuksia ?
-
Eli httpkö ei yhdistä ollenkaan? Millaisella osoitteella kokeilit? Ulkoverkosta, sisäverkosta vai samalta koneelta (localhost)?
-
https://www.theniceman.com/coppermine/
Esim tuo, on oma serveri jossa sijaitsee.
http://www.theniceman.com/coppermine/
Tämä taas ei toimi.
-
Palvelimen asetukset tarkistettu?
-
Palvelimen asetukset tarkistettu?
Tässä juuri että mitä ja mistä... Olen amatööri näiden kanssa, yritin googlettaa kun muistan että jossain oli ohje jolla voi pakottaa yhteyden salatuksi vaikka tulisi ilman "S" kirjaita.... Aikaisemmin on toiminut mutta jossain välissä lopettanut... Nyt vasta saannut aikaa perehtyä tähän.
Käyttiksenä on Ubuntu 16.x LTS
-
Palvelimen asetukset tarkistettu?
Tässä juuri että mitä ja mistä... Olen amatööri näiden kanssa, yritin googlettaa kun muistan että jossain oli ohje jolla voi pakottaa yhteyden salatuksi vaikka tulisi ilman "S" kirjaita.... Aikaisemmin on toiminut mutta jossain välissä lopettanut... Nyt vasta saannut aikaa perehtyä tähän.
Käyttiksenä on Ubuntu 16.x LTS
Ylläpidätkö itse www-pavelinta vai onko tuo joku weppihotelli ?
-
Se on minun oma serveri joka sijaitsee vaatehuoneessa, suurin homma mitä se tekee on pyörittää perheen pilvipalvelinta OwnCloud ja nämä sivut on extraa.
-
Palvelimen asetukset tarkistettu?
Tässä juuri että mitä ja mistä... Olen amatööri näiden kanssa, yritin googlettaa kun muistan että jossain oli ohje jolla voi pakottaa yhteyden salatuksi vaikka tulisi ilman "S" kirjaita.... Aikaisemmin on toiminut mutta jossain välissä lopettanut... Nyt vasta saannut aikaa perehtyä tähän.
Käyttiksenä on Ubuntu 16.x LTS
Noin oikopäätä tulee mieleeni uudelleenohjaus https-yhteyteen.
Mutta kerro toki jos löydät tempun jolla http-prokolla käyttää salattua...
-
Ei voi pakottaa mutta teki että jos tulee http: niin pakottaa vaihtamaan lennosta https:n mutta itselle ei tarvitse tuota pakotusta mutta tahtoisin että http: toivii normaalisti ilman salausta...
-
Ei voi pakottaa mutta teki että jos tulee http: niin pakottaa vaihtamaan lennosta https:n mutta itselle ei tarvitse tuota pakotusta mutta tahtoisin että http: toivii normaalisti ilman salausta...
Aloitapa tutkimalla mitä majailee hakemistossa:
/etc/apache2/
jossa kiinnostavia kohteita ainakin:
/etc/apache2/apache2.conf
ja
/etc/apache2/ports.conf
-
Mutex file:${APACHE_LOCK_DIR} default
PidFile ${APACHE_PID_FILE}
Timeout 300
KeepAlive On
MaxKeepAliveRequests 500
KeepAliveTimeout 5
# These need to be set in /etc/apache2/envvars
User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}
HostnameLookups Off
ErrorLog ${APACHE_LOG_DIR}/error.log
LogLevel warn
# Include module configuration:
IncludeOptional mods-enabled/*.load
IncludeOptional mods-enabled/*.conf
# Include list of ports to listen on
Include ports.conf
# access here, or in any related virtual host.
<Directory />
Options FollowSymLinks
AllowOverride None
Require all denied
</Directory>
<Directory /usr/share>
AllowOverride None
Require all granted
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
#<Directory /srv/>
# Options Indexes FollowSymLinks
# AllowOverride None
# Require all granted
#</Directory>
#
AccessFileName .htaccess
#
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<FilesMatch "^\.ht">
Require all denied
</FilesMatch>
#
#
# Note that the use of %{X-Forwarded-For}i instead of %h is not recommended.
# Use mod_remoteip instead.
#
LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %O" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
# Include of directories ignores editors' and dpkg's backup files,
# see README.Debian for details.
# Include generic snippets of statements
IncludeOptional conf-enabled/*.conf
# Include the virtual host configurations:
IncludeOptional sites-enabled/*.conf
#<Directory "/var/www/forum">
#</Directory>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet
-
Port:
# If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default.conf
#NameVirtualHost *:80
#Listen 80
#Listen 8080
Listen 0.0.0.0:80
<IfModule ssl_module>
Listen 443
</IfModule>
<IfModule mod_gnutls.c>
# Listen 443
</IfModule>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet
-
Sites-enabled hakemistossa on default-ssl.conf :
Tuossa on ikivanha ip osoitteeni joka on vaihtunut niin mihin tuo vaikuttaa ? Paksunnettu kohta
<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerAdmin webmaster@localhost
ServerName 84.248.88.147
ServerAlias 84.248.88.147
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key
# Server Certificate Chain:
#SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt
#SSLCACertificatePath /etc/ssl/certs/
#SSLCACertificateFile /etc/apache2/ssl.crt/ca-bundle.crt
#SSLCARevocationPath /etc/apache2/ssl.crl/
#SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl
#SSLVerifyClient require
#SSLVerifyDepth 10
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>
BrowserMatch "MSIE [2-6]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
# MSIE 7 and newer should be able to use keepalive
BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>
</IfModule>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet
-
Perehdy nyt kuitenkin hiukan mitä nuo rivit tarkoittavat.
Ja sitten kurkkaat onko tuo
/etc/apache2/sites-enabled/000-default.conf
kuten haluat.
-
Perehdy nyt kuitenkin hiukan mitä nuo rivit tarkoittavat.
Ja sitten kurkkaat onko tuo
/etc/apache2/sites-enabled/000-default.conf
kuten haluat.
En tiedä miten sen haluaisin olla...
<VirtualHost *:80>
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>
#ServerName www.example.com
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
ProxyPassMatch ^/(.*\.php(/.*)?)$ unix:/run/php/php7.0-fpm.sock|fcgi://localhost/var/www/html/
</VirtualHost>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet
-
En muuten löytänyt vastaustasi kysymykseen jonka Tomin esiti jo alkuketjussa?
Eli toimiiko http-yhteys sisäverkostasi paikallisella osoitteella?
Onko muuten joku syy miksi haluat sen http:n auki ulkomaailmaan?
-
En muuten löytänyt vastaustasi kysymykseen jonka Tomin esiti jo alkuketjussa?
Eli toimiiko http-yhteys sisäverkostasi paikallisella osoitteella?
Onko muuten joku syy miksi haluat sen http:n auki ulkomaailmaan?
Ei toimi sisäverkon kauttakaan enään, syy miksi haluan http:n toimii on kun joku aina valittaa että voi menne sivuilleni koska olen salaus avaimen itse luonnut enkä ostanut kun selaimet tästä varoittaa että ei ole "virallinen"....
Muuten ei olisi väliä kun kaikki uskalla/osaa tehdä poikkeusta selaimeen että hyväksyisi luomani avaimen...
-
Oletko tuota kuukeloinut:
Strict-Transport-Security
Kun sinulla on konffissasi moinen pala (tyhjät rivit poistettu):
...
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>
...
Ja siitä kerrotaan mm:
HTTP Strict Transport Security is a web security policy mechanism that helps to protect websites against protocol downgrade attacks and cookie hijacking. It allows web servers to declare that web browsers should interact with it using only secure HTTPS connections, and never via the insecure HTTP protocol. HSTS is an IETF standards track protocol and is specified in RFC 6797. More at "Wikipedia"
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Nykyisin on tarjolla myös ilmaisia sertifikaatteja, täälläkin on kerrottu ihan hiljakkoin.
Muistaakseni siinä Huawei -ketjussa viimeksi, Tomin vinkkasi.
Pikaisena testinä poistaisin nuo rivit.
Apassin reload tai mieluummin restart ja kokeilu.
Ja testin jälkeen takaisin ;)
En ole koskaan käyttänyt tuota, eli ei kokemusta.
-
Kiitos vinkistä, testailen =)
-
Ja osuipa silmiini se mainitsemani vihje ilmaisesta sertifikaatista.
Muistaakseni olen joskus jopa kokeillut, mutta nykyisin ei tarvetta.
"Tosta oma sertifikaatti helposti, jos vaan on pääsy komentoriville: https://certbot.eff.org/ "
-
Ja osuipa silmiini se mainitsemani vihje ilmaisesta sertifikaatista.
Muistaakseni olen joskus jopa kokeillut, mutta nykyisin ei tarvetta.
"Tosta oma sertifikaatti helposti, jos vaan on pääsy komentoriville: https://certbot.eff.org/ "
KAtselen tuotakin... Juu oma servu niin pääsen mihin vain tosin nyt toi perus valikko hukkasi ohjelmat =)
-
Poistin rivit, katselin noita .Conf tiedostoja niin niistä löydä tai ainakaan osu silmiin mitään erikoista mutta kun http:// menee niin tulee :
Service Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.
Apache/2.4.18 (Ubuntu) Server at www.theniceman.com Port 80
HTTPS:// taas toimii normaalisti.
-
http://www.theniceman.com/
Kertoo jottas sinulla on "Apache2 Ubuntu Default Page"
Mitä muuta odotit?
-
http://www.theniceman.com/
Kertoo jottas sinulla on "Apache2 Ubuntu Default Page"
Mitä muuta odotit?
Ennen tuo meni suoraan tuonne Galleriaa mutta jokin päivitys tai vastaava muutti jotain niin että Default Page näkyy nyt mutta suorat ei toimi ilman S: lisää...
https://www.theniceman.com/coppermine/
https://www.theniceman.com/forum/index.php
https://www.theniceman.com/owncloud/index.php/login
Kun s: ottaa pois niin ei toimi...
Ehkä annan olla sitten näin =)
-
...
Ehkä annan olla sitten näin =)
Miksi jättäisit http-portin auki vakioporttiin ellei sillä kuitenkaan pääse sinne kun haluat?
Vaan mitä ilmeisimmin oli väärä arvaukseni tuo Strict-Transport-Security
Asensin 18.04:ään tuoreen apassin. Eikä päivitysten jälkeenkään löytynyt tuota mod_headers.c:tä
(lähin osuma /usr/lib/apache2/modules/mod_headers.so)
Mistä tuollainen on asetuksiisi pujahtanut, Jotain vanhaa perua?
Tosin ei ne rivit vaikuta mitenkään, hienosti lukee selaimeni myös alihakemistot.