Moin,
ich wollte mal eben das Board als Spickzettel misbrauchen
Um den vdradmin ein wenig sichrerer zu machen habe ich auf meinem Debian (ctvdr6) mal den Apache so eingestellt das die Verbindung zum vdradmin von aussen über eine verschlüsselte Verbindung läuft. Diese Anleitung hat keinen Anspruch auf Vollständigkeit. Ich werde aber gerne Fehler ausbessern... Weiterhin schützt dieses Howto nur die Übertagung des - ansonsten - unverschlüsselten vdradmin Passwortes. Bei einem meiner "Kunden" ist es passiert, das durch vdradmin mit - zugegeben - nicht geänderten Login ein Eindringling die Kiste kapern konnte und als Spamschleuder genutzt hat. Aufgefallen war das als er keine Timer mehr speichern konnte. Wie auch bei voller root Partition
Ein funktionierender dyndns (o.ä.) Account wird mal vorausgesetzt.
In die Datei /etc/apache2/ports.conf trägt man folgende Zeile hinzu:
Ordner anlegen für das Zertifikat:
Zertifikat erstellen
openssl req -new -x509 -nodes -out /etc/apache2/ssl/apache.pem -keyout /etc/apache2/ssl/apache.pem
In die Abfragen kann man was eintragen oder die Vorschläge aus den eckigen Klammern mit <RETURN> übernehmen.
Jetzt noch die Module aktivieren (proxy und proxy_http für die lokale Umleitung und ssl für die Verschlüsselung)
Nun folgt die Einstellung des Proxy Moduls in der Datei /etc/apache/httpd.conf
<IfModule mod_proxy.c>
ProxyRequests Off
ProxyVia On
RedirectMatch ^/vdradmin /vdradmin/
ProxyPass /vdradmin/ http://127.0.0.1:8001/
ProxyPassReverse /vdradmin/ http://127.0.0.1:8001/
</IfModule>
Dazu noch in die Einstellung für den Virtuellen Host (/etc/apache2/sites-available/ssl)
NameVirtualHost *:443
<VirtualHost *:443>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.pem
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
RedirectMatch ^/$ /vdradmin/
</Directory>
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
ErrorLog /var/log/apache2/error-ssl.log
CustomLog /var/log/apache2/access-ssl.log combined
ServerSignature Off
</VirtualHost>
Alles anzeigen
Die Seite muss jetzt noch aktiviert werden. Dazu wird ein symbolischer Link auf die Seite in den Ordner /etc/apache2/sites-enabled gelegt. Das macht man am einfachsten so:
In der apache-default Seite muss man nun den Port 80 in den ersten beiden Zeilen ergänzen
Um wenig Angriffsfläche zu bieten schalte ich noch die Server Token fast aus:
/etc/apache2/apache2.conf
...
#
# ServerTokens
# This directive configures what you return as the Server HTTP response
# Header. The default is 'Full' which sends information about the OS-Type
# and compiled in modules.
# Set to one of: Full | OS | Minor | Minimal | Major | Prod
# where Full conveys the most information, and Prod the least.
#
ServerTokens Prod
#
# Optionally add a line containing the server version and virtual host
# name to server-generated pages (internal error documents, FTP directory
# listings, mod_status and mod_info output etc., but not CGI generated
# documents or custom error documents).
# Set to "EMail" to also include a mailto: link to the ServerAdmin.
# Set to one of: On | Off | EMail
#
ServerSignature Off
...
Alles anzeigen
Jetzt sollte man den Apache mal neu starten damit er alle Änderungen übernimmt.
Im lokalen Netzt kann man jetzt mal versuchen den vdr mit
zu erreichen. Um ihn auch aus dem Internet zu bekommen muss man im Router den Port 443 für den vdr freigeben. Bei mir musste ich dazu in der FritzBox auch den Fernzugriffsport verändern, da der sonst auf 443 läuft. Im neuen Firefox kommt beim ersten mal eine Fehlerseite. Das liegt an dem nicht von offizieller Stelle unterschriebenen Zertifikat. Hier muss man dann die Ausnahme zulassen und das Zertifikat herunterladen. Dann sollte es gehen
Gruß von der Küste