#httpd

22.10.2017, 21:16:11

#informatyka #serwery #apache #httpd #unix #security @niebezpiecznik-pl

Mirki admini i programiciele, wpadłem na pewną ciekawą problemowość związaną z serwerem Apache 2.4 (testuję na wersji apache24-2.4.27_1). Otóż mam na vhoście autoryzację poprzez basic auth (czyli user/password) oraz ten sam vhost wymaga uwierzytelnienia przy pomocy certyfikatu SSL (SSLVerifyClient require). Wszystko fajnie działa, sprawnie i do tej pory myślałem, że nawet nieźle bezpiecznie. Dzisiaj potrzebowałem napisać sobie skrypt w bashu do crontabu, aby co kilka minut odpytywał mi serwer po adresie URL (pomyślałem o wget) i uruchamiał podfunkcję webserwisu (do rejestracji zamówień z obcego API, np. https://serwisxxx.pl/wczytajzapi, ale to nieistotne). Ku mojemu zdziwieniu, apache w w/w wersji zanim otrzyma user/password odpala mi stronę., tzn. oczywiście nie daje do niej dostępu i po stronie Klienta otrzymuję komunikat unauthorized:

HTTP request sent, awaiting response... 401 Unauthorized

nadmuchane_jaja

23.10.2017, 22:03:38

@elirath: Przeniesienie autoryzacji na Directory nic nie dało. Error 401 mam statyczny. -FakeBasicAuth też nic nie dało. Cały czas mogę wykonać skrypt przez wget.

elirath

25.10.2017, 08:49:28

@nadmuchane_jaja: no, cóż, u mnie się ten apache inaczej zachowuje (testuje na 2.4.28). Potrzebuję od Ciebie, albo: minimalny konfig do przetestowania który mogę wkleić u siebie, albo: wynik ze strace -ffvvtt -s 60000 -o /tmp/strace -p pidapache -p pidapache -p pidapache kiedy wykonujesz jedno zapytanie. W tym strace powinieneś widzieć, że apache robi connect() do socketa z php. Powinieneś też widzieć, że apache wysyła zapytanie do php, odsyła 401 do

n.....e

konto usunięte 18.08.2017, 06:42:44

Hej mirki, używam ampps pod windows do projektów lokalnych jak wp, etc, ale potrzebuję coś innego lokalnego jak np. codeanywhere, nie pamiętam jak to się nazywało na wirtualnej maszyncę. ;]

#httpd #apache #phpmysql #etc #localhost #webdesign

egocentryk

18.07.2013, 22:58:06

Składając jakiś większy projekt pod #webdev (na ogół oparty na bazach danych) zawsze tworzę sobie w hosts i httpd.conf stosowną końcówkę naśladującą 'rzeczywistą' domenę... też tak macie? Czy lecicie via localhost/folder/ i tylko mi odbija? :] #egopyta #hosts #apache #httpd

egocentryk - Składając jakiś większy projekt pod #webdev (na ogół oparty na bazach da... — **źródło:** comment_2BJzbrccUHEbUUrNVvunxrsLvzBSMiiG.jpg
Pobierz

Spook

18.07.2013, 23:04:36

@egocentryk: zależy czy mi się chce konfigurować hosty, ale ogólnie to dobra praktyka. Oszczędza trochę czasu jak już wrzucasz aplikację na produkcję :)

m.....s

konto usunięte 19.07.2013, 05:53:18 via Android

@egocentryk: dokladnie tak samo, również .dev

Turecka plaga włamań na serwery

Od kilku dni Turecka grupa włamuje się na serwery, prawdopodobnie dziurawy jest Apache. W chwili podmieniane są pliki index wszystkich domen obecnych na serwerze.

z dodany: 24.12.2010, 12:55:14

Cherokee HTTPD Polska - Polska społeczność serwera Cherokee

Celem nowo założonego serwisu Cherokee-project.pl jest zgromadzenie w jednym miejscu zarówno ludzi już używających serwera Cherokee, jak i tych, którzy dopiero o nim usłyszeli. Podobnie jak Nginx jest alternatywą dla Apache, może działać na dowolnej platformie sprzętowej i systemowej.

z dodany: 12.11.2008, 13:49:16