Fedora13 apache

目次

FrontPage
・Windows11
・Chromebook
・Random
・機械学習
・さくらVPS
・Fedora13
・SuSe10
・Docker
・Ansible
・Java
・Scala
・Python
・Ruby
・Lisp
・Computer
・GIS
・HTML
・Culture
・Link

訪問者

total: 14022
today: 1
yesterday: 0
now: 1

更新

最新の10件

人気の10件

MenuBar

インストール †

• OSのインストール時に一緒にインストールされていた
• ただし、起動するようには設定されていないので、OS起動時に自動起動するように設定する。

  $ sudo /sbin/chkconfig --list | grep http
  httpd           0:off   1:off   2:off   3:off   4:off   5:off   6:off
  $ sudo /sbin/chkconfig --level 35 httpd on
  $ sudo /sbin/chkconfig --list | grep httpd
  httpd           0:off   1:off   2:off   3:on    4:off   5:on    6:off

• 起動する

  $ sudo /etc/init.d/httpd start
  httpd を起動中:                                            [  OK  ]

• index.html を作成

  $ sudo vi /var/www/html/index.html 
  <html>
  <head><title>HELLO APCHE WORLD</title></head>
  <body>
  HELLO APACHE WORLD
  </body>
  </head>

• 80番ポート(HTTP)と443番ポート(HTTPS)をあける

  $ sudo /usr/bin/system-config-firewall

  
• とりあえず index.html は見えるようになった
  

設定ファイルの構成 †

• 設定ファイル群は Apache 標準に素直な体系
  • Apache本体の設定 : /etc/httpd/conf/httpd.conf
  • モジュールの設定 : /etc/httpd/conf.d/ 以下のファイルを httpd.conf から include している
• SuSE のようにコテコテの拡張をしていない
  • Fedora は、GUI で設定したシステム変数によりモジュールを有効化したり無効化したりといった事はしていない
  • あと、起動時に http.conf を勝手に書き換えたりとかもしていない

PHPを使えるようにする †

• インストール

  $ sudo yum -y install php

  で、php 5.3 と php-cli と php-common がインストールされる。
  あと mbstring があれば大抵の web アプリは動くでしょう

  $ sudo yum -y install php-mbstring

• apacheへの組み込み

  $ ls /etc/httpd/conf.d/
  README  mod_dnssd.conf  php.conf  proxy_ajp.conf  welcome.conf

  既に、php.conf が作られていて、libphp5.so が読み込まれるようになっています。(mod_php は、php5 で廃止され、代わりに php5_module (libphp5.so) を使うようになった)
  apache を再起動して反映

  $ sudo /etc/init.d/httpd restart
  httpd を停止中:                                            [  OK  ]
  httpd を起動中:                                            [  OK  ]

• 動作確認

  $ sudo vi /var/www/html/phpinfo.php
  <?php phpinfo(); ?>

   
  

mod_deflate †

• モジュール自体は既に、/etc/httpd/conf/httpd.conf でロードされている
• mod_deflate を最後に設定するために、/etc/httpd/conf.d/ 以下のファイルを次のように改名する

  # cd /etc/httpd/conf.d/
  # ls | sort
  10_welcome.conf
  50_mod_dnssd.conf
  50_php5_module.conf
  50_proxy_ajp.conf
  90_mod_deflate.conf
  README

  • README によるとアルファベット順で、httpd.conf に Include されるようだ
• 90_mod_dflate.confの内容
  • ほぼ、http://httpd.apache.org/docs/2.0/ja/mod/mod_deflate.html を書き写したもの
  • CPUは余っているので、頑張って圧縮する
  • 90_mod_dflate.conf

    <Location />
    # Insert filter
    SetOutputFilter DEFLATE
    
    # Netscape 4.x has some problems...
    BrowserMatch ^Mozilla/4 gzip-only-text/html
    
    # Netscape 4.06-4.08 have some more problems
    BrowserMatch ^Mozilla/4\.0[678] no-gzip
    
    # MSIE masquerades as Netscape, but it is fine
    # BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
    
    # NOTE: Due to a bug in mod_setenvif up to Apache 2.0.48
    # the above regex won't work. You can use the following
    # workaround to get the desired effect:
    BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html
    
    # Don't compress images
    SetEnvIfNoCase Request_URI \
    \.(?:gif|jpe?g|png)$ no-gzip dont-vary
    
    # Make sure proxies don't deliver the wrong content
    Header append Vary User-Agent env=!dont-vary
    
    </Location>
    
    DeflateBufferSize 8096
    DeflateCompressionLevel 9
    DeflateMemLevel 9
    DeflateWindowSize 15

• apche の再起動

  $ sudo /etc/init.d/httpd restart
  httpd を停止中:                                            [  OK  ]
  httpd を起動中:                                            [  OK  ]

• ちゃんと圧縮されているみたい
  

mod_ssl †

とりあえず暗号化されれば良いだけなら・・・ †

$ sudo yum -y install mod_ssl
$ cd /etc/http/conf.d/
$ sudo mv ssl.conf 50_ssl.conf
$ sudo /etc/init.d/httpd restart
httpd を停止中:                                            [  OK  ]
httpd を起動中:                                            [  OK  ]

以上

• "yum install" で、ssl.conf が作成され、証明書には yum が用意した /etc/pki/tls/certs/localhost.crt が使われている。

  LoadModule ssl_module modules/mod_ssl.so
  Listen 443
  SSLPassPhraseDialog  builtin
  SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)
  SSLSessionCacheTimeout  300
  SSLMutex default
  SSLRandomSeed startup file:/dev/urandom  256
  SSLRandomSeed connect builtin
  SSLCryptoDevice builtin
  
  <VirtualHost _default_:443>
  
  ErrorLog logs/ssl_error_log
  TransferLog logs/ssl_access_log
  LogLevel warn
  
  SSLEngine on
  
  SSLProtocol all -SSLv2
  
  SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
  
  SSLCertificateFile /etc/pki/tls/certs/localhost.crt
  
  SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
  
  <Files ~ "\.(cgi|shtml|phtml|php3?)$">
      SSLOptions +StdEnvVars
  </Files>
  <Directory "/var/www/cgi-bin">
      SSLOptions +StdEnvVars
  </Directory>
  
  SetEnvIf User-Agent ".*MSIE.*" \
           nokeepalive ssl-unclean-shutdown \
           downgrade-1.0 force-response-1.0
  
  CustomLog logs/ssl_request_log \
            "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
  
  </VirtualHost>

サーバー証明書を作る †

• 基本は Suse10 ssl と同じ
• まずは、これから発行する証明書の有効期間を 365日 から 3650日にする

  $ su
  # vi /etc/pki/tls/openssl.conf
    ...
    72 
    73 # default_days = 365
    74 default_days = 3650
    ...

オレオレ CA の作成 †

# cd /etc/pki/tls/misc/
# ./CA -newca
CA certificate filename (or enter to create)

Making CA certificate ...
Generating a 2048 bit RSA private key
...+++
............+++
writing new private key to '/etc/pki/CA/private/./cakey.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) [Default City]:Bunkyo
Organization Name (eg, company) [Default Company Ltd]:Personal CA
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:kagyuu
Email Address []:kagyuu@hondou.homedns.org

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/./cakey.pem: ※最初に打ち込んだ pass phrase を入力※
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            f3:84:6d:a2:a3:b5:cd:8d
        Validity
            Not Before: Jun 30 16:14:03 2010 GMT
            Not After : Jun 29 16:14:03 2013 GMT
        Subject:
            countryName               = JP
            stateOrProvinceName       = Tokyo
            organizationName          = Personal CA
            commonName                = kagyuu
            emailAddress              = kagyuu@hondou.homedns.org
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                4A:DB:4D:62:2D:4D:F2:58:B7:EB:02:41:C5:E6:B2:97:6D:8D:32:95
            X509v3 Authority Key Identifier: 
                keyid:4A:DB:4D:62:2D:4D:F2:58:B7:EB:02:41:C5:E6:B2:97:6D:8D:32:95

            X509v3 Basic Constraints: 
                CA:TRUE
Certificate is to be certified until Jun 29 16:14:03 2013 GMT (1095 days)

Write out database with 1 new entries
Data Base Updated

• できるファイル
  • /etc/pki/CA/private/cakey.pem (CAの秘密鍵)
  • /etc/pki/CA/cacert.pem (CAの自己署名証明書)
• ちゃんと、Basic Constrains = CA:TRUE で証明書が作られる
  • cf. X.509電子証明書の互換性(IPA)
  • basicConstraintsは、証明書の用途を指定するフラグ。CAの証明書である場合は TRUEにする。WWWクライアントやサーバに対して証明書を発行する場合には、FALSEにする。
  • openssl 0.97 → 0.98 で、デフォルト値が FALSE になったので、色々問題が発生したが Fedora13 ではちゃんと考えられているみたい。

証明書の発行依頼 †

# ./CA -newreq-nodes
Generating a 2048 bit RSA private key
.......................................+++
..................+++
writing new private key to 'newreq.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo 
Locality Name (eg, city) [Default City]:Bunkyo
Organization Name (eg, company) [Default Company Ltd]:AHO
Organizational Unit Name (eg, section) []:Web Admin
Common Name (eg, your name or your server's hostname) []:hondou.homedns.org
Email Address []:kagyuu@hondou.homedns.org

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Request (and private key) is in newreq.pem

オレオレ CA で依頼に基づき証明書を発行 †

# ./CA -sign
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            f3:84:6d:a2:a3:b5:cd:8e
        Validity
            Not Before: Jun 30 16:33:34 2010 GMT
            Not After : Jun 27 16:33:34 2020 GMT
        Subject:
            countryName               = JP
            stateOrProvinceName       = Tokyo
            localityName              = Bunkyo
            organizationName          = AHO
            organizationalUnitName    = Web Admin
            commonName                = hondou.homedns.org
            emailAddress              = kagyuu@hondou.homedns.org
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                93:7C:01:CD:79:F5:0F:25:91:67:CC:6A:85:A4:35:E3:E5:D5:4C:29
            X509v3 Authority Key Identifier: 
                keyid:4A:DB:4D:62:2D:4D:F2:58:B7:EB:02:41:C5:E6:B2:97:6D:8D:32:95

Certificate is to be certified until Jun 27 16:33:34 2020 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries

• ちゃんと、Basic Constrains = CA:FALSE で証明書が作られる

Apache用に鍵セットと証明書を抽出 †

$ cd /etc/pki/tls/misc/
$ sudo openssl rsa -in newreq.pem -out server.key 
writing RSA key
$ sudo openssl x509 -in newcert.pem -out server.crt

• 公開鍵暗号では、２つの鍵のペアを使う。
  • このうち１つを手元にとっておく秘密鍵にする
  • もう１つを一般に公開する公開鍵にする
  • 公開鍵で暗号化した情報は、秘密鍵でしか複合できない
  • 秘密鍵で暗号化した情報は、公開鍵でしか複合できない
• 証明書はこの性質を使ったもの
  • CA(認証機関) の秘密鍵で暗号化された何らかの情報が、公開鍵で複合化できたと言うことは、その情報はCAによって暗号化されたものである。→証明書
• server.crt が証明書。HTTPS暗号通信の公開鍵が、CAの秘密鍵で暗号化されている。
  • CAの公開鍵は証明書に添付されている。この公開鍵が verisign などの認証機関のモノであればブラウザは警告を出さないが、オレオレCA の場合には信頼するかどうかのダイアログが出る。
    
  • たしかに、オレオレCA の証明書だ
    
• HTTPS通信は、秘密鍵 server.key と公開鍵 server.crt (を複合化したもの)で行われる
  • 正確に言うと、実際の HTTP の暗号化には、共通鍵暗号が使われている。(計算速度が速いため。逆に言うと公開鍵暗号は安全性が高い代わりにメッチャ遅い)
  • 公開鍵暗号は、最初に行われる共通鍵の受け渡しのみに使われている。

Apacheへの組み込み †

$ sudo vi /etc/httpd/conf.d/50_ssl.conf 

   100 
   101 #   Server Certificate:
   102 # Point SSLCertificateFile at a PEM encoded certificate.  If
   103 # the certificate is encrypted, then you will be prompted for a
   104 # pass phrase.  Note that a kill -HUP will prompt again.  A new
   105 # certificate can be generated using the genkey(1) command.
   106 SSLCertificateFile /etc/pki/tls/misc/server.crt
   107 #SSLCertificateFile /etc/pki/tls/certs/localhost.crt
   108 
   109 #   Server Private Key:
   110 #   If the key is not combined with the certificate, use this
   111 #   directive to point at the key file.  Keep in mind that if
   112 #   you've both a RSA and a DSA private key you can configure
   113 #   both in parallel (to also allow the use of DSA ciphers, etc.)
   114 SSLCertificateKeyFile /etc/pki/tls/misc/server.key
   115 #SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
   116 

$ sudo /etc/init.d/httpd restart
httpd を停止中:                                            [  OK  ]
httpd を起動中:                                            [  OK  ]

DoS攻撃対策 †

• しばしば Slow DoS攻撃 を受けてサーバが停止する事態が発生
  
• Apache のプロセス数が多すぎてメモリを使い切っているようだ
• /etc/httpd/conf/httpd.conf

  # MaxClients: maximum number of server processes allowed to start
  # MaxRequestsPerChild: maximum number of requests a server process serves
  <IfModule prefork.c>
  StartServers       8
  MinSpareServers    5
  MaxSpareServers   20
  # ServerLimit      256
  # MaxClients       256
  ServerLimit       25
  MaxClients        25
  MaxRequestsPerChild  4000
  </IfModule>

  • MaxClients? が、Apache のプロセス数
  • 1 プロセスあたり 4000 スレッド
  • 1 プロセス 20 MB として、500 MB までしか Apache が使わないようにした
• この Web サーバは Atom (2Core) / 1GB Mem / 750GB HDD
• ひとまずは 10 万以上のアクセスがあったら 500 Server Busy で OK
• 商用Webサービスが、Reverse Proxy を使ったり、負荷分散 (Hot Standby) している理由が実体験としてわかった。SIer がいらないものを売りつけているわけぢゃなかったんだ

Fedora 13 Server