3.7 KiB
Apache HTTP Server
Konfigurace Apache HTTP Serveru se nachází v adresáři /etc/apache2/. Konfigurace virtualhostů jednotlivých subdomén je pak v podadresáři /etc/apache2/sites-available/, resp. /etc/apache2/sites-enabled/. Každý jednotlivý konfigurační soubor se týká pouze jednoho virtualhosta, resp. jedné subdomény. V případě webů běžících přímo na doméně druhého řádu jsou tyto vždy zároveň aliasovány i subdoménou www ve stejném konfiguračním souboru. Všechny virtualhosty mají nastaveno automatické přesměrovávání HTTP na HTTPS, včetně zaslání HTTP Strict Transport Security (HSTS) hlavičky.
Stejné rozdělení domén a subdomén je pak použito i u Let's Encrypt certifikátů o které žádá ACME klient acme.sh, jehož konfigurační adresář je /etc/acme-sh. Klient acme.sh má nastavenou cron úlohu pro automatickou obnovu certifikátů, která je spouštěna každý den ve 22:22.
V hlavním konfiguračním souboru Apache /etc/apache2/apache2.conf je nastavena výjimka pro URL /.well-known/acme-challenge, na které ACME protokol provádí challenge-response autentizaci. Tato lokace je tedy vždy vyjmuta z virtualhostů a aplikací na nich běžících a je spravována přímo globální konfigurací Apache.
Seznam virtualhostů
- 000-default - Virtualhost pro subdoménu server.spotter.cz a fallback virtualhost pro celý Apache HTTP Server
- cluster.spotter.tv
- dms.spotter.ngo
- git.spotter.cz
- jobseeker.cz - Virtualhost pro doménu jobseeker.cz a subdoménu www.jobseeker.cz
- job.spotter.cz
- loga.spotter.cz
- media.spotter.ngo
- old.spotter.tv
- repo.spotter.cz
- spotter.cloud
- spotter.cz - Virtualhost pro doménu spotter.cz a subdoménu www.spotter.cz
- spotter.name - Virtualhost pro doménu spotter.name a subdoménu www.spotter.name
- spotter.ngo - Virtualhost pro doménu spotter.ngo a subdoménu www.spotter.ngo
- spotter.sk - Virtualhost pro doménu spotter.sk a subdoménu www.spotter.sk
- spotter.tv - Virtualhost pro doménu spotter.tv a subdoménu www.spotter.tv
- trend.spotter.cz
- trendspotter.cz - Virtualhost pro doménu trendspotter.cz a subdoménu www.trendspotter.cz
Pro výpis jednotlivých prezentací a aplikací, viz též stránky Weby a domény a WordPress.
Funkce a zabezpečení Apache
V Apache HTTP Serveru jsou aktivní následující moduly
- access_compat, alias, auth_basic, authn_core, authn_file, authz_core, authz_host, authz_user, autoindex, brotli, deflate, dir, env, expires, filter, headers, http2, mime, mpm_event, negotiation, proxy, proxy_fcgi, proxy_http, reqtimeout, rewrite, setenvif, socache_shmcb, ssl, status, wsgi
Apache server neposílá hlavičku s informací o verzi. OpenSSL je nastaveno pro podporu moderních a mainstreamově používaných protokolů a šifer následnovně:
- Verze OpenSSL: 1.1.1
- Proporované protokoly: TLSv1.2, TLSv1.3
- Podporované sady šifer: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
- Vynucení preferencí šifer serveru: Ano
- Podpora komprese: Ne
- OCSP stapling: Ano
Výsledek Qualys SSL testu: SSL_Server_Test__server.spotter.cz__Powered_by_Qualys_SSL_Labs_.pdf