Spotter-Cluster/Hosting
2
0
Fork 0
Code Issues 8 Pull Requests Actions Packages Projects Releases Wiki Activity

Update Apache, PHP a TLS

Disassembler 2019-05-14 14:15:18 +02:00
parent 2d19c327d0
commit 43a79405c0
1 changed files with 26 additions and 10 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

36
Web-server/Apache,-PHP-a-TLS.md

@ -1,36 +1,52 @@
## Apache HTTP Server ## Apache HTTP Server
Konfigurace Apache HTTP Serveru se nachází v adresáři `/etc/apache2/`. Konfigurace *virtualhostů* jednotlivých subdomén je pak v podadresáři `/etc/apache2/sites-available/`, resp. `/etc/apache2/sites-enabled/`. Každý jednotlivý konfigurační soubor se týká pouze jednoho virtualhosta, resp. jedné subdomény. V případě webů běžících přímo na doméně druhého řádu jsou tyto vždy zároveň aliasovány i subdoménou `www` ve stejném konfiguračním souboru. Konfigurace Apache HTTP Serveru se nachází v adresáři `/etc/apache2/`. Konfigurace *virtualhostů* jednotlivých subdomén je pak v podadresáři `/etc/apache2/sites-available/`, resp. `/etc/apache2/sites-enabled/`. Každý jednotlivý konfigurační soubor se týká pouze jednoho virtualhosta, resp. jedné subdomény. V případě webů běžících přímo na doméně druhého řádu jsou tyto vždy zároveň aliasovány i subdoménou `www` ve stejném konfiguračním souboru. Všechny virtualhosty mají nastaveno automatické přesměrovávání HTTP na HTTPS, včetně zaslání HTTP Strict Transport Security (HSTS) hlavičky.
Stejné rozdělení domén a subdomén je pak použito i u Let's Encrypt certifikátů o které žádá ACME klient [acme.sh](https://acme.sh/), jehož konfigurační adresář je `/etc/acme-sh`. Klient acme.sh má nastavenou cron úlohu pro automatickou obnovu certifikátů, která je spouštěna každý den ve 22:22. Stejné rozdělení domén a subdomén je pak použito i u Let's Encrypt certifikátů o které žádá ACME klient [acme.sh](https://acme.sh/), jehož konfigurační adresář je `/etc/acme-sh`. Klient acme.sh má nastavenou cron úlohu pro automatickou obnovu certifikátů, která je spouštěna každý den ve 22:22.
V hlavním konfiguračním souboru Apache `/etc/apache2/apache2.conf` je nastavena výjimka pro URL `/.well-known/acme-challenge`, na které ACME protokol provádí challenge-response autentizaci. Tato lokace je tedy vždy vyjmuta z virtualhostů a aplikací na nich běžících a je spravována přímo globální konfigurací Apache. V hlavním konfiguračním souboru Apache `/etc/apache2/apache2.conf` je nastavena výjimka pro URL `/.well-known/acme-challenge`, na které ACME protokol provádí challenge-response autentizaci. Tato lokace je tedy vždy vyjmuta z virtualhostů a aplikací na nich běžících a je spravována přímo globální konfigurací Apache.
### Seznam virtualhostů ### Seznam virtualhostů
- **000-default** - Výchozí a fallback virtualhost. Obsluhuje webová rozhraní jiných serverových služeb (mail, antispam, FTP atd.) na subdoméně **https://server.spotter.cz/** - **000-default** - Virtualhost pro subdoménu **server.spotter.cz** a fallback virtualhost pro celý Apache HTTP Server
- **cluster.spotter.tv** - **cluster.spotter.tv**
- **dms.spotter.ngo** - **dms.spotter.ngo**
- **git.spotter.cz** - **git.spotter.cz**
- **jobseeker.cz** - **jobseeker.cz** - Virtualhost pro doménu **jobseeker.cz** a subdoménu **www.jobseeker.cz**
- **job.spotter.cz** - **job.spotter.cz**
- **loga.spotter.cz** - **loga.spotter.cz**
- **media.spotter.ngo** - **media.spotter.ngo**
- **old.spotter.tv** - **old.spotter.tv**
- **repo.spotter.cz** - **repo.spotter.cz**
- **spotter.cloud** - **spotter.cloud**
- **spotter.cz** - **spotter.cz** - Virtualhost pro doménu **spotter.cz** a subdoménu **www.spotter.cz**
- **spotter.name** - **spotter.name** - Virtualhost pro doménu **spotter.name** a subdoménu **www.spotter.name**
- **spotter.ngo** - **spotter.ngo** - Virtualhost pro doménu **spotter.ngo** a subdoménu **www.spotter.ngo**
- **spotter.sk** - **spotter.sk** - Virtualhost pro doménu **spotter.sk** a subdoménu **www.spotter.sk**
- **spotter.tv** - **spotter.tv** - Virtualhost pro doménu **spotter.tv** a subdoménu **www.spotter.tv**
- **trend.spotter.cz** - **trend.spotter.cz**
- **trendspotter.cz** - **trendspotter.cz** - Virtualhost pro doménu **trendspotter.cz** a subdoménu **www.trendspotter.cz**
Pro výpis jednotlivých prezentací a aplikací, viz též stránku [Weby a domény](https://git.spotter.cz/Podhorecky/hosting_web/wikis/Web-server/Weby-a-dom%C3%A9ny). Pro výpis jednotlivých prezentací a aplikací, viz též stránky [Weby a domény](Web-server/Weby-a-dom%C3%A9ny) a [WordPress](Web-server/WordPress).
### Funkce a zabezpečení Apache ### Funkce a zabezpečení Apache
V Apache HTTP Serveru jsou aktivní následující moduly
- access_compat, alias, auth_basic, authn_core, authn_file, authz_core, authz_host, authz_user, autoindex, brotli, deflate, dir, env, expires, filter, headers, http2, mime, mpm_event, negotiation, proxy, proxy_fcgi, proxy_http, reqtimeout, rewrite, setenvif, socache_shmcb, ssl, status, wsgi
Apache server neposílá hlavičku s informací o verzi. OpenSSL je nastaveno pro podporu moderních a mainstreamově používaných protokolů a šifer následnovně:
- Verze OpenSSL: 1.1.1
- Proporované protokoly: TLSv1.2, TLSv1.3
- Podporované sady šifer: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
- Vynucení preferencí šifer serveru: Ano
- Podpora komprese: Ne
- OCSP stapling: Ano
Výsledek Qualys SSL testu: [SSL_Server_Test__server.spotter.cz__Powered_by_Qualys_SSL_Labs_.pdf](uploads/bdab2d085a4538d5c0ad977a90493490/SSL_Server_Test__server.spotter.cz__Powered_by_Qualys_SSL_Labs_.pdf)
## PHP ## PHP
### Funkce a zabezpečení PHP ### Funkce a zabezpečení PHP