KONFIGURACJA SERWERA APACHE, SSL W SYTEMIE GNU/LINUX
Powszechny dostęp do Internetu już dawno stał się dla nas czymś tak naturalnym jak oddychanie. Każdy ze
zwykłego użytkownika chce stać się autorem i właścicielem strony internetowej. Nawet dzieci tworzą własne
portale, blogi korzystając z ogólnodostępnych serwerów. Korzystanie nawet z dobrze opłacanego hostingu
wiąże się niestety z pewnymi ograniczeniami co do dostępnej dla nas przestrzeni dyskowej, czasu
wykonywania skryptu strony, wielkości bazy danych, czy rozmiaru plików. Istnieje jednak możliwość
stworzenia własnego serwera www w domowych warunkach.
Pierwszą rzeczą jakiej będziemy potrzebować będzie działający komputer z dostępem do sieci (co jest chyba
oczywiste :) ). Na potrzeby tego artykułu pozwoliłem sobie dokonać założenia, że nie obce nam są
przynajmniej podstawowe zasady funkcjonowania serwisów internetowych, oraz sposób ich konstruowania.
Na początek sprawdźmy czy w naszym systemie zostały zainstalowane odpowiednie pakiety. Robimy to
poleceniem
$ rpm q httpd openssl mod_ssl
Polecenie powinno zwrócić wynik podobny do poniższego
httpd2.2.112.fc10.i386
openssl0.9.8g13.fc10.i686
mod_ssl2.2.112.fc10.i386
W przeciwnym wypadku konieczne jest doinstalowania powyższych pakietów przy pomocy yuma lub ze
źródeł. Dodatkowo możemy również zainstalować pakiet PHP5. Przyda się on w późniejszych testach
wydajności serwera.
Jeżeli instalacja przebiegnie pomyślnie w pasku adresu przeglądarki internetowej możemy wpisać adres
http://localhost/
. Powinniśmy zobaczyć taką stronę
Ilustracja 1: Strona testowa serwera Apache
APACHE
Otwieramy teraz (w dowolnym edytorze tekstowym) plik /etc/httpd/conf/httpd.conf. Plik konfiguracyjny
jest bardzo długi, więc na nasze potrzeby kierujemy zainteresowanie wyłącznie na kilka linijek.
Pierwszą z nich jest ServerTokens Min. Upewniamy się, że przypisaną mamy tu wartość Min. Linia ta
informuje jakie informacje wysyłane będą do przeglądarki przez serwer. Aby zwiększyć bezpieczeństwo
zmniejszamy wiedzę otoczenia
Następnie ustawiamy wartość Timeout na 120. Jest to czas oczekiwania na odebranie żądania GET ,
maksymalny czas pomiędzy odebraniem kolejnych pakietów żądania PUT lub POST .
Zaraz potem ustawiamy KeepAlive On, MaxKeepAliveRequests 100 oraz KeepAliveTimeout 15. Pierwsza
opcja odpowiada za to czy należy podtrzymać połączenie pomiędzy żądaniami od klienta. Druga ile żądań
będzie obsłużonych podczas jednego połączenia z klientem. Tutaj sugerowane duże wartości dla dużej
wydajności serwera. Ostatnia zaś mówi serwerowi ile sekund czekać przed zamknięciem połączenia po
zakończeniu obsługi żądania .
W kolejnym kroku kierujemy swoje spojrzenie na linię Listen 80 dopisując zaraz za nią kolejną linię Listen
8080. Dodajemy w ten sposób kolejny port nasłuchiwania. Na tych portach będziemy mogli ustanowić
połączenie z serwerem.
Czasami taka konfiguracja jest wystarczająca. Zdarza się jednak, że nasze strony internetowe mają problemy z
poprawnym wyświetlaniem polskich znaków. Korzystamy w tedy z linijki AddDefaultCharset UTF-8. To
kodowanie zapewnia poprawną obsługę polskich liter. Zostaje nam tylko zmienić kodowanie plików stron na
UTF-8, co swoją drogą w coraz większej skali staje się standardem internetowym.
Innym, konkurencyjnym serwerem HTTP jest Lighttpd. Faktem godnym zauważenia jest jego wydajność.
Krótki test przeprowadzony przy pomocy programu ab (Apache HTTP server benchmarking tool) pokazał, że
Lighttpd jest szybszy od Apache'a. Wynik testu renderowania prostej strony napisanej w PHP (kalendarz
roczny) przedstawiają poniższe tabele. Wnioski można już wyciągnąć samemu ;)
APACHE
This is ApacheBench, Version 2.0.40dev <$Revision: 1.146 $> apache2.0
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Copyright 2006 The Apache Software Foundation, http://www.apache.org/
Benchmarking 127.0.0.1 (be patient).....done
Server Software: Apache/2.2.3
Server Hostname: 127.0.0.1
Server Port: 80
Document Path: /index.php
Document Length: 400 bytes
Concurrency Level: 1
Time taken for tests: 0.7221 seconds
Complete requests: 1
Failed requests: 0
Write errors: 0
Non2xx responses: 1
Total transferred: 579 bytes
HTML transferred: 400 bytes
Requests per second: 138.48 [#/sec] (mean)
Time per request: 7.221 [ms] (mean)
Time per request: 7.221 [ms] (mean, across all concurrent requests)
Transfer rate: 0.00 [Kbytes/sec] received
Connection Times (ms)
min mean[+/sd] median max
Connect: 0 0 0.0 0 0
Processing: 7 7 0.0 7 7
Waiting: 6 6 0.0 6 6
Total: 7 7 0.0 7 7
LIGHTTPD
This is ApacheBench, Version 2.0.40dev <$Revision: 1.146 $> apache2.0
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Copyright 2006 The Apache Software Foundation, http://www.apache.org/
Benchmarking 127.0.0.1 (be patient).....done
Server Software: lighttpd/1.4.22
Server Hostname: 127.0.0.1
Server Port: 80
Document Path: /index.php
Document Length: 345 bytes
Concurrency Level: 1
Time taken for tests: 0.749 seconds
Complete requests: 1
Failed requests: 0
Write errors: 0
Non2xx responses: 1
Total transferred: 498 bytes
HTML transferred: 345 bytes
Requests per second: 1335.11 [#/sec] (mean)
Time per request: 0.749 [ms] (mean)
Time per request: 0.749 [ms] (mean, across all concurrent requests)
Transfer rate: 0.00 [Kbytes/sec] received
Connection Times (ms)
min mean[+/sd] median max
Connect: 0 0 0.0 0 0
Processing: 0 0 0.0 0 0
Waiting: 0 0 0.0 0 0
Total: 0 0 0.0 0 0
SSL
Kiedy podstawową konfigurację serwera mamy już za sobą, pora na zwiększenie bezpieczeństwa.
Otwórzmy raz jeszcze plik /etc/httpd/conf/httpd.conf. Upewniamy się, czy obecna jest linia Include
conf.d/*.conf. Pozwoli ona na wykorzystanie plików konfiguracyjnych w katalogu /etc/httpd/conf.d/.
Otwieramy plik /etc/httpd/conf.d/ssl.conf. Sprawdzamy, gdzie przetrzymywane są pliki kluczy. W tym
przypadku jest to /etc/httpd/conf/ssl.crt/server.crt i /etc/httpd/conf/ssl.key/server.key . Następnie przystępujemy
do utworzenia certyfikatu.
Najpierw tworzymy nowy katalog i tworzymy w nim kopię plików serwera Apache
# mkdir /tmp/apache
# cp r /etc/httpd/conf/* /tmp/apache/.
Potem wydajemy kolejno polecenia:
# mkdir /etc/httpd/conf/tmp
# cd /etc/httpd/conf/tmp
# openssl genrsa des3 out server.key 2048
Generating RSA private key, 2048 bit long modulus
................+++
................................................................... ......
........+++
e is 65537 (0x10001)
Enter pass phrase for server.key:
[nasze hasło]
Verifying Enter pass phrase for server.key:
[nasze hasło]
To polecenie wygeneruje prywatny 2048 bitowy klucz RSA przy użyciu biblioteki OpenSSL. Klucz jest
kodowany algorytmem des3 .
# openssl rsa in server.key out server.pem
Enter pass phrase for server.key:
[nasze hasło]
writing RSA key
Usuwamy hasło z prywatnego klucza i umieszcza go w pliku server.pem.
# openssl req new key server.key out server.csr (answer the series of
questions)
Enter pass phrase for server.key:
[jeszcze raz to samo hasło]
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a
DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [GB]:
PL
State or Province Name (full name) [Berkshire]:
lubelskie
Locality Name (eg, city) [Newbury]:
Lublin
Organization Name (eg, company) [My Company Ltd]:
[puste]
Organizational Unit Name (eg, section) []:
[puste]
Common Name (eg, your name or your server's hostname)[]:
[localhost]
Email Address []:
root@localhost
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
[puste]
An optional company name []:
[puste]
Generujemy podpisany klucz
# openssl x509 req days 365 in server.csr signkey server.key out
server.crt
Signature ok
subject=/C=PL/ST=lubelskie/L=Lublin/O=My Company
Ltd/emailAddress=kmichalak8@gmail.com
Getting Private key
Enter pass phrase for server.key:
[hasło]
i tworzymy certyfikat, którego ważność trwa 365 dni.
Na koniec wchodzimy do katalogu /etc/httpd/conf i kopiujemy otworzone przez nas pliki i restartujemy serwer
HTTP.
# cd /etc/httpd/conf && cp tmp/server.crt ./ssl.crt && cp
tmp/server.key ./ssl.key
# cp tmp/server.csr ./ssl.csr && service httpd restart
Jeżeli wpiszemy teraz w pasku przeglądarki adres
http://localhost/
otrzymamy niestety komunikat o
niepoprawnym certyfikacie.
Ilustracja 2: Komunikat błędu uwierzytelniania
Dzieje się tak ze względu na fakt, że certyfikat udzielony stronie został podpisany przez nas samych. Aby
uniknąć tego problemu konieczne jest uzyskanie certyfikatu autentyczności strony z zewnętrznego źródła.
SERWERY WIRTUALNE
Ostatnim już i najbardziej chyba interesującym zagadnieniem związanym z serwerem Apache jest pomysł
serwerów wirtualnych. Aby utworzyć dwa przykładowe wirtualne serwery należy w głównym pliku
konfiguracyjnym (/etc/httpd/conf/httpd.conf) umieścić wpis
NameVirtualHost 192.168.0.1:80
<VirtualHost 192.168.0.1>
ServerAdmin kmichalak8@gmail.lab1.com
ServerName www.lab1.com
DocumentRoot /www/lab1/htdocs
TransferLog /var/log/www/access_log.lab1
ErrorLog /var/log/www/error_log.lab1
</VirtualHost>
<VirtualHost 192.168.0.1>
ServerAdmin kmichalak8@gmail.lab2.com
ServerName www.lab2.com
DocumentRoot /www/lab2/htdocs
TransferLog /var/log/www/access_log.lab12
ErrorLog /var/log/www/error_log.lab12
</VirtualHost>
Pierwsza linia określa adres, do którego odnoszą się poszczególne serwery. ServerName jest dyrektywą
przypisującą symboliczną nazwę wirtualnego serwera.
Sens takiego podejścia jest niewątpliwy w przypadku, kiedy chcemy na jednym serwerze przechowywać kilka
serwisów WWW. Pozwala to na redukcję kosztów jeżeli chodzi o sprzęt – wystarczy nam jedna maszyna. Daje
nam również możliwość tworzenia aliasów adresów internetowych. Dzięki czemu dana strona może być
widoczna pod kilkoma różnymi nazwami.