KZoli: Új oldal, tartalma: „Ebben a leírásban a [http://www.lighttpd.net/ Lighty] (Light HTTPd, ''lighttpd'') webszervert egyfajta "web kijelzőként", kizárólag statikus weboldalak (pl. hátt…”

2018-05-29T20:55:35Z

Új oldal, tartalma: „Ebben a leírásban a [http://www.lighttpd.net/ Lighty] (Light HTTPd, ''lighttpd'') webszervert egyfajta "web kijelzőként", kizárólag statikus weboldalak (pl. hátt…”

Új lap

Ebben a leírásban a [http://www.lighttpd.net/ Lighty] (Light HTTPd, ''lighttpd'') webszervert egyfajta "web kijelzőként", kizárólag statikus weboldalak (pl. háttérben generált Munin, MRTG grafikonok) megjelenítésére alkalmas módon telepítjük. Noha a Lighty képes lenne publikus, virtualhostolt, nagy forgalmú, dinamikus weboldalak kiszolgálására is, házirendünkben (szubjektív döntésként) ilyen feladatokra az Apache webszervert illetve a ''wsm2'' környezetet írjuk elő (részletesen ld. [[Apache 2.x (wsm2) telepítése (Jessie)|itt]]).

==Házirend==
Csak akkor telepítünk Lighty-t, ha a szervergép funkciója nem webszerver, azaz publikus webtartalmat nem, csak webfelületen megjelenített technikai jellegű adatokat szolgáltat:
* a tartalom csak olvasható (nincs szerver oldali interaktivitás, nincs CGI - '''TODO!''');
* a tartalom statikus, vagy a háttérben aszinkron módon generált, azaz nem szükséges szerkesztői hozzáférés;
* nem szükséges virtualhost kezelés;
* nem szükséges látogatási statisztika.
A megjelenített, általában technikai jellegű tartalom védelme érdekében:
* a releváns tartalmakat ''basic'' authentikációhoz kötjük;
* az authentikáció titkosítása érdekében minden lekérést ''https''-re irányítunk.
Technikailag:
* a tartalom a szervergép ''/var/www/'' könyvtára alatt helyezkedik el, amely a ''webadmin:www-data'' Linux (rendszer)felhasználó és -csoport birtokában van;
* a ''lighthttpd'' a ''www-data'' nevében fut és a tárterületet a csoport jogán olvassa;
* '''TODO!'''
''Kompatibilitási megjegyzés:''
* Igyekszünk úgy kialakítani a webszolgáltatást, hogy szükség esetén (a Lighty lecserélésével) könnyen lehessen ''wsm2''-kompatibilis kiszolgálásra továbblépni.

==Web adminisztrátor felhasználó elkészítése==
''Opcionális'' lépés, de érdemes megtenni minden esetben, ha felmerül a későbbiekben a Lighty Apache2 ''wsm2''-re cserélése. Házirendünkben (béna hagyomány miatt) a web adminisztrátor az ''UID 1001'' felhasználó, és ezt az azonosítót az esetleges migrációk miatt érdemes kőbe vésni.

A web adminisztrátor felhasználó jellegét tekintve rendszer felhasználó, csak neki van írásjoga a filerendszerben tárolt webdokumentumokra. Jogosultságait rendszerprogramok (pl. Apache DAV modul) használják, azonban kivételesen szükséges lehet a nevében dolgozni, ezért ennek a felhasználónak belépési joggal és valid shell-lel kell rendelkeznie:
<pre>useradd -c Webadminisztrator -g www-data -d /home/webadmin -m -s /bin/bash webadmin # alap csoportja a www-data!
chmod 750 /home/webadmin
passwd webadmin</pre>
Mivel ez a felhasználó a teljes webtartalomhoz hozzáfér, számára kellően erős jelszót érdemes beállítani. Relatív megjegyezhető, mégis erős jelszó a ''pwgen'' segédprogrammal is generálható, pl. a következőképpen:
<pre>/usr/bin/pwgen -s -n -c 12 1</pre>
Az esetleges shell loginhoz készítsük elő a nyilvános kulcsú távoli bejelentkezéshez szükséges állományokat:
<pre>export user='webadmin' group='www-data'
mkdir -m 500 /home/$user/.ssh
chown $user:$group /home/$user/.ssh
touch /home/$user/.ssh/authorized_keys2
chown $user:$group /home/$user/.ssh/authorized_keys2
chmod 400 /home/$user/.ssh/authorized_keys2
chattr +i /home/$user/.ssh/authorized_keys2</pre>
A fenti beállításokkal csak a ''root'' tud a ''webadmin'' felhasználó nevében történő bejelentkezéshez szükséges kulcsokat felvenni.

A ''webadmin'' alapvetően nem interaktív felhasználó, így ne hagyjuk, hogy a shelljére vonatkozó beállításokat interaktívan megváltoztassa:
<pre>chmod 440 /home/webadmin/.bashrc; chattr +i /home/webadmin/.bashrc
chmod 440 /home/webadmin/.profile; chattr +i /home/webadmin/.profile
chmod 440 /home/webadmin/.bash_logout; chattr +i /home/webadmin/.bash_logout </pre>
A ''webadmin'' által létrehozott állományoknak nem szabad a csoportra nézve írásjoggal, illetve az ''other'' felhasználókra nézve semmilyen jogosultságokkal rendelkezniük - ezt a korábbi PAM umask beállítás biztosítja. Mielőtt a későbbi DAV hozzáféréseket kiadnánk, ellenőrzésképpen jelentkezzünk be webadminként, és hozzunk létre egy állományt a felhasználó ''home'' könyvtárában:
<pre>$ touch hello
$ ls -l hello

-rw-r----- 1 webadmin www-data 0 YYYY-MM-DD HH:MM hello</pre>
Ellenőrizzük, hogy a tesztfile a ''www-data'' csoportot kapja-e, és hogy a csoportnak nincs írásjoga (a webszerver a csoport jogán fogja olvasni az állományokat)! Ellenőrizzük továbbá, hogy a ''webadmin'' felhasználóval kiadott su (helyesen megadott root password esetén is) sikertelen:
<pre>$ su -
Password:
su: Permission denied</pre>
<small>''Megjegyzés: a felhasználó nincs benne az ''admin'' group-ban, így a korábbi PAM szigorítás miatt su-zni nem tud.''</small>

==Telepítés==
Rendszergazdaként, Debian csomagból telepíthető a ''https'' kiszolgálásához szükséges ''openssl'' csomaggal és néhány egyéb függőséggel együtt:
<pre>apt-get install lighttpd lighttpd-doc openssl # + néhány függőség</pre>
A telepítés után a webszerver azonnal elindul. Gyorstesztként egy, a telepítés alatti szervert webkapcsolaton elérő munkaállomás grafikus web böngészőjében tekinsük meg a ''<nowiki>http://IP.IP.IP.IP</nowiki>'' weboldalt, amely az alapértelmezett ''/var/www/html/index.lighttpd.html'' tartalmát mutatja meg. Ezután, a további beállításig állítsuk le a webszervert:
<pre>systemctl stop lighttpd</pre>

==Alapbeállítások==
A webszerver közvetlen konfigurálása mellett készítünk egy ''self-signed'' tanúsítványt a ''https'' kiszolgálás számára, és egy jelszóállományt, amivel hozzáférhetünk a majdani Munin statisztikák könyvtárához, valamint lecseréljük az alapértelmezett indexlapot is. A Munin előkészítése részben példaként szolgál, másfelől reális haszna is van, mert a legtöbb szervergépen telepítünk ''standalone'' Munin megjelenítőt.
===A webszerver beállításai===
A webszerver saját beállításait a ''/etc/lighttpd/conf-available/99-local.conf'' modulban adjuk meg, az alábbiak szerint:
* függőségként bekapcsoljuk az ''access log''-ot, az authentikációs modult, az ''https'' támogatást és a webszerver saját monitorát;
* a webszerver azonosítójában (''Server HTTP header'') eltitkoljuk a verziószámot :-);
* minden, nem a ''localhostról'' érkező ''http'' lekérést ''https''-re irányítunk;
* bekapcsoljuk, de csak a ''localhost''-ról tesszük elérhetővé a webszerver saját terhelési mutatóit megadó technikai weboldalt (''/server-status'');
* a ''wsm2''-vel kompatibilis aliast és egyszerű, szövegfájlban tárolt, jelszavas authentikációt állítunk be a (még nem létező) ''/munin'' könyvtár számára.
<pre>-rw-r--r-- root root /etc/lighttpd/conf-available/99-local.conf

# -*- depends: accesslog, auth, ssl, status -*-
# Local policies and settings.

server.tag = "lighttpd"

# We provide HTTPs only, except for localhost.
$HTTP["scheme"] == "http" {
# Excluding localhost.
$HTTP["remoteip"] !~ "^127\.0\." {
# From: http://redmine.lighttpd.net/projects/lighttpd/wiki/HowToRedirectHttpToHttps
# capture vhost name with regex conditional -> %0 in redirect pattern
# must be the most inner block to the redirect rule
$HTTP["host"] =~ ".*" {
url.redirect = (".*" => "https://%0$0")
url.redirect-code = 302
}
}
}

# Server status for localhost only (monitoring).
$HTTP["remoteip"] !~ "^127\.0\." {
$HTTP["url"] =~ "^/server-" {
url.access-deny = ("")
}
}
$HTTP["remoteip"] =~ "^127\.0\." {
status.status-url = "/server-status"
status.enable-sort = "disable"
}

# Munin results folder is password-protected.
$HTTP["url"] =~ "^/munin($|/)" {
alias.url = ( "/munin/" => "/var/www/munin/" )
auth.backend = "plain"
auth.backend.plain.userfile = "/etc/lighttpd/lighttpd-munin.user"
auth.require = ( "" =>
( "method" => "basic", "realm" => "Munin", "require" => "valid-user" )
)
}

# That's all, folks!</pre>
Ezen kívül [https://raymii.org/s/tutorials/Strong_SSL_Security_On_lighttpd.html szigorítsuk meg] a ''https'' (''ssl'' modul) beállításokat:
* tiltsuk le az SSLv2 és SSLv3 protokollokat (vagyis csak TLS-t engedélyezzünk) a [https://security-tracker.debian.org/tracker/CVE-2014-3566 POODLE támadás] kivédésére;
* tiltsuk le az RC4 ''cipher'' használatát (amely [https://community.qualys.com/blogs/securitylabs/2013/03/19/rc4-in-tls-is-broken-now-what túlságosan gyenge]).
Ehhez sajnos bele kell nyúlnunk a ''/etc/lighttpd/conf-available/10-ssl.conf'' állományba:
<pre>-rw-r--r-- root root /etc/lighttpd/conf-available/10-ssl.conf

[...]

ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"

ssl.cipher-list = "ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM"
[...]</pre>

Engedélyezzük a ''local'' modult, ezzel egyben a függőségeket is:
<pre>lighty-enable-mod local</pre>
Az engedélyezéssel nem kapcsoltuk vissza a webszervert, ami nem is baj, mert még nem készült el a ''https'' tanúsítvány.

===A ''https'' szervertanúsítvány elkészítése===
Egy önaláírt tanúsítványt készítünk, amelyet a ''/etc/lighttpd/conf-available/10-ssl.conf'' állományban alapértelmezett néven és helyre telepítünk (így ahhoz emiatt nem kell hozzányúlni). Ha már van érvényes szervertanúsítványunk, természetesen használhatjuk azt is - ez esetben a generálás nem szükséges, csak az elhelyezés.
<pre>cd /root/tmp
export DAYS=360 FQHN=$(hostname --fqdn)
echo $FQHN $DAYS # ha $FQHN nem megfelelő, definiáljuk felül manuálisan!

openssl genrsa -out $FQHN.key 2048 # 2K RSA private key - ez lesz a szerverkulcs
chmod 600 $FQHN.key

openssl req -new -key $FQHN.key -sha256 -out $FQHN.csr # Aláírandó tanúsítvány - töltsük ki az alábbiak szerint (csak példa!):
# Country Name (2 letter code) [AU]:HU
# State or Province Name (full name) [Some-State]:Budapest
# Locality Name (eg, city) []:Budapest
# Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company
# Organizational Unit Name (eg, section) []:Web Services
# Common Name (eg, YOUR name) []:FULLY.QUALIFIED.HOSTNAME
# Email Address []:sysadmin@mydomain.hu
# Extra attributumok üresen hagyhatóak.

openssl x509 -req -days $DAYS -in $FQHN.csr -signkey $FQHN.key -sha256 -out $FQHN.crt # Írassuk alá

cat $FQHN.key $FQHN.crt > /etc/lighttpd/server.pem # Kombinált kulcs + cert alapértelmezett helyre
chmod 600 /etc/lighttpd/server.pem # Mert privát kulcsot tartalmaz

mv $FQHN.key /etc/ssl/private/
mv $FQHN.crt /etc/ssl/certs/ # Megőrizzük a komponenseket
rm $FQHN.csr # Ez már nem kell
</pre>
Ezzel a tanúsítványt elkészítettük és elhelyeztük. A házirend szerint telepített ''/etc/cron.daily/check-active-certs'' felügyelő script fel van készülve az így elhelyezett tanúsítvány érvényességének napi egyszeri ellenőrzésére, így annak lejáratáról időben értesítést fogunk kapni.

===A Munin jelszóállomány elkészítése===
A Munin grafikonok eléréséhez készítünk egy jelszóállományt, amelybe felvesszük az ''auditor'' virtuális (csak a Lighty számára létező) felhasználót és beállítunk számára egy véletlen jelszót:
<pre>echo -e "auditor:$(/usr/bin/pwgen -c -n -s 12 1)" >/etc/lighttpd/lighttpd-munin.user
chown root:www-data /etc/lighttpd/lighttpd-munin.user # A webszervernek olvasnia kell
chmod 640 /etc/lighttpd/lighttpd-munin.user # Jelszó van benne, más ne olvassa</pre>
A generált jelszót olvassuk ki és jegyezzük fel.
===Az alapértelmezett weboldal cseréje===
A web tárhelyet adó ''/var/www'' könyvtár jogait változtassuk meg úgy, hogy minden itt létrehozott állomány csoportja legyen ''www-data'' - ez biztosítja a webszerver olvasási jogát ezekre az állományokra. Mindenki mástól vegyük el az írás-olvasás jogát:
<pre>chown -R webadmin:www-data /var/www
chmod -R o-rwx /var/www
chmod 2751 /var/www # Muninnnak be kell lépni ide!</pre>
''Opcionálisan'' a kicsit bőbeszédű alapértelmezett weboldalt az alábbi, lényegesen egyszerűbbre cserélhetjük:
<pre>touch /var/www/html/index.html
chown webadmin:www-data /var/www/html/index.html
chmod 640 /var/www/html/index.html
mcedit /var/www/html/index.html</pre>
<pre>-rw-r----- webadmin www-data /var/www/html/index.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML>
<HEAD>
<TITLE>Empty page</TITLE>
<meta http-equiv="Content-Type" content="text/html; charset=UTF8">
</HEAD>

<BODY BGCOLOR="#ffffff" STYLE='margin: 0;' MARGINWIDTH=0 MARGINHEIGHT=0 TOPMARGIN=0 LEFTMARGIN=0>
<P>FULLY.QUALIFIED.HOSTNAME</P>
</BODY>
</HTML></pre>
Ne felejtsük el a ''FULLY.QUALIFIED.HOSTNAME''-et a szervertanúsítvány elkészítésénél megadottal lehetőleg azonosan kitölteni!

A maintainer által biztosított, alapértelmezett weboldalt egyszerűen letörölhetjük, vagy el is rejthetjük, pl. az alábbi módon:
<pre>chmod 600 /var/www/html/index.lighttpd.html # elvesszük az olvasási jogot a webszervertől</pre>
Ezután már elindíthatjuk a webszervert:
<pre>systemctl start lighttpd; systemctl status lighttpd; tail -f /var/log/lighttpd/error.log</pre>

===Gyorsteszt===
Gyorstesztként egy, a telepítés alatti szervert webkapcsolaton elérő munkaállomás grafikus web böngészőjében nézzük meg az alábbiakat (IP cím helyett az URL-ben használhatunk bármilyen hostnevet, amelynek DNS feloldása erre a szervergépre mutat):
* ''<nowiki>http://IP.IP.IP.IP</nowiki>'' - automatikus ''https''-re váltás és az önaláírt szervertanúsítvány elfogadása után az imént elkészített, puritán alapértelmezett weboldalt kell látnunk.
* ''<nowiki>http://IP.IP.IP.IP/munin</nowiki>'' - az authentikáció elutasítása esetén 401-es, az ''auditor'' felhasználóval és az imént beállított jelszóval történő authentikáció után 404-es HTTP hibát kapunk (még nincs Munin tartalom);
* lekéréseink megfelelően megjelennek a ''/var/log/lighttpd/access.log'' és ''/var/log/lighttpd/error.log'' naplókban.
Fentiek sikere esetén a web megjelenítő szolgáltatást valószínűleg jól beállítottuk :-). A ''https'' biztonságot a [https://www.ssllabs.com/ssltest/analyze.html Qualsys tesztjével] ellenőrizhetjük (itt önaláírt tanúsítvánnyal "T(A-)", megbízható tanúsítvánnyal "A-" minősítést tudunk elérni, mert a Wheezy-ben használt OpenSSL még nem teljesen támogatja a [https://en.wikipedia.org/wiki/Forward_secrecy forward secrecy] funkciót).

==Egyéb beállítások==
Ebben a szakaszban a webszerverhez kapcsolódó egyéb, külső beállításokat végezzük el.
===A ''lighttpd'' bejegyzése a Tiger által ismert démonok közé===
A web megjelenítő démonja(i) állandóan fut(nak), így a biztonsági figyelmeztetések elkerülése érdekében be kell jegyezni a ''lighttpd''-t a ''tigerrc'' állományba:
<pre>-rw-r--r-- root root /etc/tiger/tigerrc

[...]
Tiger_Listening_ValidUsers='[...]|www-data|[...]'
[...]
Tiger_Listening_ValidProcs='[...]|lighttpd|[...]'
[...]
Tiger_Running_Procs='[...] /usr/sbin/lighttpd [...]'
[...]</pre>
===A ''lighttpd'' monitorozása a Muninnal===
Amennyiben telepítve van a ''munin-addons'' csomag, a monitorozás az alábbi parancsokkal vehető használatba:
<pre>cp -p /usr/local/share/munin/plugin-conf.d/lighttpd /etc/munin/plugin-conf.d/lighttpd

ln -s /usr/local/share/munin/plugins/lighttpd_ /etc/munin/plugins/lighttpd_accesses
ln -s /usr/local/share/munin/plugins/lighttpd_ /etc/munin/plugins/lighttpd_kbytes

# Ezek is léteznek, de nekünk valószínűleg nem kellenek:
#ln -s /usr/local/share/munin/plugins/lighttpd_ /etc/munin/plugins/lighttpd_busyservers
#ln -s /usr/local/share/munin/plugins/lighttpd_ /etc/munin/plugins/lighttpd_idleservers
#ln -s /usr/local/share/munin/plugins/lighttpd_ /etc/munin/plugins/lighttpd_uptime

/etc/init.d/munin-node restart # érvényesítsük a beállításokat</pre>
A ''munin-addons''-ban szereplő beállító állomány a fenti házirendünkkel kompatibilis, így a ''munin-node'' újraindítása után a monitorozás már működik:
<pre>telnet localhost 4949
[...]
fetch lighttpd_accesses
> data.value 11
> .
fetch lighttpd_kbytes
> data.value 1
> .
quit</pre>
==Irodalom==
* [https://raymii.org/s/tutorials/Strong_SSL_Security_On_lighttpd.html Stong SSL Security on lighttpd]

Lighty (lighttpd) telepítése (Jessie) - Laptörténet

KZoli: Új oldal, tartalma: „Ebben a leírásban a [http://www.lighttpd.net/ Lighty] (Light HTTPd, ''lighttpd'') webszervert egyfajta "web kijelzőként", kizárólag statikus weboldalak (pl. hátt…”