Appunti sparsi su Apache e Apache 2

Configurazione minimale di Apache 2 su Devuan Jessie e Debian 8

Di default Apache 2 si avvia senza supporto https e senza named virtual.

Io preferisco usare sempre dei named virtual, quindi imposto un default che non porti a nulla (una directory con un index.html senza niente) e poi tanti named virtual quanti ne servono.

Attenzione: se imposti un named virtual che ha lo stesso nome del FQDN del server (che so, mail.example.com) questo named virtual non funzionera`. I named virtual devono SEMPRE avere un nome diverso dal FQDN del server.

Configurazione minimale di Apache 2 per servire http e https:

Se vogliamo anche https, occorre abilitare il modulo con il comando a2enmod ssl e creare i certificati. Se non abilitiamo il modulo ssl le configurazioni di ssl verranno ignorate.

• Creare un file sites-available/default.conf con dentro le configurazioni per il sito di default:

  <VirtualHost *:80>
          ServerAdmin postmaster@example.com
          DocumentRoot /var/www/default
  </VirtualHost>
  
  
  <IfModule mod_ssl.c>
     <VirtualHost *:443>
          SSLEngine on
          SSLCertificateFile /etc/letsencrypt/example.cert
          SSLCertificateKeyFile /etc/letsencrypt/example.key
          ServerAdmin postmaster@example.com
          DocumentRoot /var/www/default
     </VirtualHost>
  </IfModule>

• Abilitare questa configurazione e disabilitare il default "originale" che e` il file 000-default.conf, creando i link dentro a sites-enabled o usando i comandi a2ensite e a2dissite

• Creare la directory /var/www/default (o quella che vogliamo usare) e magari metterci dentro un index.html con qualche avviso che dice che questo non e` il server che state cercando.

• Ricaricare Apache per vedere il risultato

A questo punto possiamo creare un named virtual che non sia il default, se ci serve

* Creare un file sites-available/default.conf con dentro le configurazioni per nostro named virtual, poniamo che sia "webmail.example.com":

• <VirtualHost *:80>
          ServerAdmin postmaster@example.com   
          ServerName webmail.example.com
          ErrorLog ${APACHE_LOG_DIR}/webmail-error.log
          CustomLog ${APACHE_LOG_DIR}/webmail-access.log combined
          DocumentRoot /var/www/webmail
  </VirtualHost>
  
  
  <IfModule mod_ssl.c>
     <VirtualHost *:443>
          SSLEngine on
          SSLCertificateFile /etc/letsencrypt/webmail-example.cert
          SSLCertificateKeyFile /etc/letsencrypt/webmail-example.key
          ServerAdmin postmaster@example.com
          ServerName webmail.example.com
          ErrorLog ${APACHE_LOG_DIR}/webmail-error.log
          CustomLog ${APACHE_LOG_DIR}/webmail-access.log combined
          DocumentRoot /var/www/webmail
     </VirtualHost>
  </IfModule>

• Abilitare questa configurazione creando il link dentro a sites-enabled o usando il comandio a2ensite

• Creare la directory /var/www/webmail e metterci dentro cio` che serve.

• Ricaricare Apache per vedere il risultato

Redirect da un sito a un altro

Per, per esempio, forzare un redirect da un sito http all'equivalente https, posso usare il comando "redirect" o il comando "redirectmatch" dentro alla configurazione. Posso usarlo anche per fare altri redirect non necessariamente fra http e https. Notare che devo indicare l' url di partenza (/) e quello di arrivo. Per evitare problemi con il rinnovo dei certificati di Let's Encrypt e` opportuno usare un redirect che NON ridiriga le richieste dei files sotto /.well-known/acme-challenge/.

Esempio:

<VirtualHost *:80>
        ServerName www.pippo.com
        ServerAdmin email@pippo.com
        RedirectMatch 301 ^(?!/\.well-known/acme-challenge/).* https://www.pippo.com$0
        DocumentRoot /var/www/dovevuoitu 
</VirtualHost>

<VirtualHost *:443>
        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/pippo.crt
        SSLCertificateKeyFile /etc/apache2/ssl/pippo.key

        Eccetera eccetera

</VirtualHost>

Hardening dell' SSL

Questa e` la configurazione suggerita per Apache 2.4 o superiore per disabiltare i protocolli meno sicuri:

SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Gestione del charset

Se le pagine del sito contengono caratteri non-standard che non sono codificati correttamente in HTML (tipo le lettere accentate), e queste nel browser vengono male, occorre definire il charset standard. Per farlo, editare /etc/apache2/conf.d/charset e modificarlo in modo che contenga AddDefaultCharset ISO-8859-1.

Creazione di un certificato SSL self-signed per Apache2

openssl req -new -x509 -days 3650 -nodes -out server.crt -keyout server.key
chmod 400 server.key

I due files server.crt e server.key vanno definiti nella config di apache.

Statistiche di accesso e uso

• Usando mod_status, un client web testuale (links, per esempio) ed eseguendo il comando "apachectl status" si vede una statistica più o meno in realtime dei processi di Apache e di cosa sta facendo.
• Il comando "apachectl fullstatus" mostra i singoli processi con gli url che stanno servendo, il tempo impiegato, ecc. Ottimo per capire cosa è che si impalla e tiene occupato Apache per sempre.

Configurazione di apache 1.3 con mod_ssl

Dopo aver installato apache 1.3 e mod_ssl, per avere il supporto per http e https occorre come minimo una configurazione con due virtualhosts, cosi`:

Listen 80
Listen 443

NameVirtualHost *:80
NameVirtualHost *:443

<VirtualHost *:80>
</VirtualHost>

<VirtualHost *:443>
        # Configurazione SSL
        SSLEngine on
        SSLCertificateFile /etc/apache/ssl/server.crt
        SSLCertificateKeyFile /etc/apache/ssl/server.key
</VirtualHost>

Questa ovviamente e` superminimale, ma funziona se si ha di fatto un solo host (niente virtuali davvero) che vuole fare sia http che https.