Neuer Server mit ISPConfig

#1
Hallo, ich habe einen Serverumzug hinter mir und habe jetzt ISPconfig3 komplett neu nach dieser anleitung installiert: The Perfect Server - Ubuntu 12.04 LTS (Apache2, BIND, Dovecot, ISPConfig 3) | HowtoForge - Linux Howtos and Tutorials

Also ich hab folgende Probleme:

1. Wenn man auf die Haupt-IP zugreift bekommt man Zugriff auf die Ordnerstruktur:

Index of /

Name Last modified Size Description
apps/ 16-Aug-2012 12:04 -
ispconfig/ 16-Aug-2012 12:05 -
webalizer/ 16-Aug-2012 12:01 -


Das sollte ja eigentlich nicht sein. Wenn man xxx.xxx.xxx.xxx/ispconfig eingibt wird man ohne https-zwang einfach weitergeleitet. Auch der htpasswd-schutz greift nicht richtig weil anscheinend kein https vorhanden ist und dieser davon abhängig ist.

2. Wenn man eine nicht vorhandene Seite hinter der IP eingibt zb. xxx.xxx.xxx.xxx/SEITE-DIE-NICHT-EXISTIERT dann leitet er auf die erstbeste Domain im System um. Wenn ich diese Domain deaktiviere nimmt er einfach die nächste.

Das bekomme ich einfach nicht gelöst. Ich habe schon versucht die Config vom alten Server zu nehmen, aber selbst das klappt nicht richtig.

Könnt ihr mir helfen? Bei Bedarf kann ich gerne die Configs posten die ihr für die Lösung braucht. Einfach sagen welche und ich poste sie dann gleich nach.

Danke! =)
 

Till

Administrator
#2
1) Es scheint so als ob bei Dir der default vhost deaktiviert wurde. Aktivier ihn mit:

a2ensite default

oer aber Du hast irgendwelche manuellen Änderungen an der apache config durchgeführt oder Konfiguration von einem anderen server übernommen.

2) das ist ganz normal beim apache, denn wenn eine seite nicht existiert dann wird die erste Seite in alphabetischer Reihenfolge genommen welche für diese IP existiert. Das lässt sich ganz einfach lösen, Du musst nur eine Seite anlegen die im Alphabet ganz vorne steht, z.B. mit der Domain 000ipdefault.tld
 
#3
Hallo Till,

vielen Dank für die schnelle Antwort. Ja das war das Problem.
Ich habe die default aktiviert, wusste aber nicht dass es normal ist dass diese auf eine andere Seite ausweicht. Habe das für einen Fehler gehalten. Ich habe das directory listing deaktiviert und jetzt hat da auch keiner mehr Zugriff darauf. So wie es sein sollte.

Ein Problem habe ich aber leider derzeit noch. Auf eine Domain kann derzeit nicht zugegriffen werden. Es ist aber nur die eine. Die anderen funktionieren wunderbar.

Ich bekomme eine 403 Fehlermeldung. Die Vhost-Datei der Domain sieht so aus:
PHP:
<Directory /var/www/XX.de>
    AllowOverride None
    Order Deny,Allow
    Deny from all
</Directory>

<VirtualHost *:80>
      DocumentRoot /var/www/XX.de/web
  
    ServerName XX.de
    ServerAlias www.XX.de
    ServerAdmin webmaster@XX.de

    ErrorLog /var/log/ispconfig/httpd/XX.de/error.log

    Alias /error/ "/var/www/XX.de/web/error/"
    usw

    <IfModule mod_ssl.c>
    </IfModule>

    <Directory /var/www/XX.de/web>
        Options FollowSymLinks
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>
    <Directory /var/www/clients/client0/web1/web>
        Options FollowSymLinks
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>



    # cgi enabled
	<Directory /var/www/clients/client0/web1/cgi-bin>
      Order allow,deny
      Allow from all
    </Directory>
    ScriptAlias  /cgi-bin/ /var/www/clients/client0/web1/cgi-bin/
    AddHandler cgi-script .cgi
    AddHandler cgi-script .pl
    # suexec enabled
    <IfModule mod_suexec.c>
      SuexecUserGroup web1 client0
    </IfModule>
    # Clear PHP settings of this website
    <FilesMatch "\.ph(p3?|tml)$">
        SetHandler None
    </FilesMatch>
    # mod_php enabled
    AddType application/x-httpd-php .php .php3 .php4 .php5
    php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -fwebmaster@XX.de"	
    php_admin_value upload_tmp_dir /var/www/clients/client0/web1/tmp
    php_admin_value session.save_path /var/www/clients/client0/web1/tmp
	# PHPIniDir /var/www/conf/web1
    php_admin_value open_basedir /var/www/clients/client0/web1/web:/var/www/clients/client0/web1/tmp:/var/www/XX.de/web:/srv/www/XX.de/web:/usr/share/php5:/tmp:/usr/share/phpmyadmin:/etc/phpmyadmin:/var/lib/phpmyadmin:/usr/share/php

    RewriteEngine on
    RewriteCond %{HTTP_HOST} ^www.XX.de$ [NC]
    RewriteRule ^(.*)$ http://XX.de$1 [R=301,L]

    # add support for apache mpm_itk
    <IfModule mpm_itk_module>
      AssignUserId web1 client0
    </IfModule>

    <IfModule mod_dav_fs.c>
	  # Do not execute PHP files in webdav directory
      <Directory /var/www/clients/client0/web1/webdav>
	    <FilesMatch "\.ph(p3?|tml)$">
          SetHandler None
        </FilesMatch>
      </Directory>
      DavLockDB /var/www/clients/client0/web1/tmp/DavLock
      # DO NOT REMOVE THE COMMENTS!
      # IF YOU REMOVE THEM, WEBDAV WILL NOT WORK ANYMORE!
      # WEBDAV BEGIN
      # WEBDAV END
    </IfModule>


</VirtualHost>
<VirtualHost *:443>
      DocumentRoot /var/www/XX.de/web
  
    ServerName XX.de
    ServerAlias www.XX.de
    ServerAdmin webmaster@XX.de

    ErrorLog /var/log/ispconfig/httpd/XX.de/error.log

    Alias /error/ "/var/www/XX.de/web/error/"
    usw

    <IfModule mod_ssl.c>
	SSLEngine on
    SSLCertificateFile /var/www/clients/client0/web1/ssl/XX.de.crt
    SSLCertificateKeyFile /var/www/clients/client0/web1/ssl/XX.de.key
    SSLCACertificateFile /var/www/clients/client0/web1/ssl/XX.de.bundle
    </IfModule>

    <Directory /var/www/XX.de/web>
        Options FollowSymLinks
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>
    <Directory /var/www/clients/client0/web1/web>
        Options FollowSymLinks
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>



    # cgi enabled
	<Directory /var/www/clients/client0/web1/cgi-bin>
      Order allow,deny
      Allow from all
    </Directory>
    ScriptAlias  /cgi-bin/ /var/www/clients/client0/web1/cgi-bin/
    AddHandler cgi-script .cgi
    AddHandler cgi-script .pl
    # suexec enabled
    <IfModule mod_suexec.c>
      SuexecUserGroup web1 client0
    </IfModule>
    # Clear PHP settings of this website
    <FilesMatch "\.ph(p3?|tml)$">
        SetHandler None
    </FilesMatch>
    # mod_php enabled
    AddType application/x-httpd-php .php .php3 .php4 .php5
    php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -fwebmaster@XX.de"	
    php_admin_value upload_tmp_dir /var/www/clients/client0/web1/tmp
    php_admin_value session.save_path /var/www/clients/client0/web1/tmp
	# PHPIniDir /var/www/conf/web1
    php_admin_value open_basedir /var/www/clients/client0/web1/web:/var/www/clients/client0/web1/tmp:/var/www/XX.de/web:/srv/www/XX.de/web:/usr/share/php5:/tmp:/usr/share/phpmyadmin:/etc/phpmyadmin:/var/lib/phpmyadmin:/usr/share/php

    RewriteEngine on
    RewriteCond %{HTTP_HOST} ^www.XX.de$ [NC]
    RewriteRule ^(.*)$ http://XX.de$1 [R=301,L]

    # add support for apache mpm_itk
    <IfModule mpm_itk_module>
      AssignUserId web1 client0
    </IfModule>

    <IfModule mod_dav_fs.c>
	  # Do not execute PHP files in webdav directory
      <Directory /var/www/clients/client0/web1/webdav>
	    <FilesMatch "\.ph(p3?|tml)$">
          SetHandler None
        </FilesMatch>
      </Directory>
      DavLockDB /var/www/clients/client0/web1/tmp/DavLock
      # DO NOT REMOVE THE COMMENTS!
      # IF YOU REMOVE THEM, WEBDAV WILL NOT WORK ANYMORE!
      # WEBDAV BEGIN
      # WEBDAV END
    </IfModule>


</VirtualHost>
default:
PHP:
<VirtualHost *:80>
	ServerAdmin webmaster@localhost

	DocumentRoot /var/www
	<Directory />
		Options FollowSymLinks
		AllowOverride None
	</Directory>
	<Directory /var/www/>
		Options Indexes FollowSymLinks MultiViews
		AllowOverride None
		Order allow,deny
		allow from all
	</Directory>

	ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
	<Directory "/usr/lib/cgi-bin">
		AllowOverride None
		Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
		Order allow,deny
		Allow from all
	</Directory>

	ErrorLog ${APACHE_LOG_DIR}/error.log

	# Possible values include: debug, info, notice, warn, error, crit,
	# alert, emerg.
	LogLevel warn

	CustomLog ${APACHE_LOG_DIR}/access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>
ISPconfig.conf
PHP:
################################################
# ISPConfig Logfile configuration for vlogger
################################################

LogFormat "%v %h %l %u %t \"%r\" %>s %B \"%{Referer}i\" \"%{User-Agent}i\"" combined_ispconfig
CustomLog "| /usr/local/ispconfig/server/scripts/vlogger -s access.log -t \"%Y%m%d-access.log\" /var/log/ispconfig/httpd" combined_ispconfig

<Directory /var/www/clients>
    AllowOverride None
    Order Deny,Allow
    Deny from all
</Directory>

# Do not allow access to the root file system of the server for security reasons
<Directory />
       AllowOverride None
       Order Deny,Allow
       Deny from all
</Directory>

<Directory /var/www/conf>
    AllowOverride None
    Order Deny,Allow
    Deny from all
</Directory>

# Except of the following directories that contain website scripts
<Directory /usr/share/phpmyadmin>
        Order allow,deny
        Allow from all
</Directory>

<Directory /usr/share/phpMyAdmin>
        Order allow,deny
        Allow from all
</Directory>

<Directory /usr/share/webmail>
        Order allow,deny
        Allow from all
</Directory>

# allow path to awstats and alias for awstats icons
<Directory /usr/share/awstats>
        Order allow,deny
        Allow from all
</Directory>

Alias /awstats-icon "/usr/share/awstats/icon"
 
#4
ISPconfig.vhost
PHP:
######################################################
# This virtual host contains the configuration
# for the ISPConfig controlpanel
######################################################

 Listen 8080
NameVirtualHost *:8080

<VirtualHost _default_:8080>
  ServerAdmin webmaster@localhost
  
  <IfModule mod_fcgid.c>
    DocumentRoot /var/www/ispconfig/
    SuexecUserGroup ispconfig ispconfig
    <Directory /var/www/ispconfig/>
      Options Indexes FollowSymLinks MultiViews +ExecCGI
      AllowOverride AuthConfig Indexes Limit Options FileInfo
      AddHandler fcgid-script .php
      FCGIWrapper /var/www/php-fcgi-scripts/ispconfig/.php-fcgi-starter .php
      Order allow,deny
      Allow from all
    </Directory>
  </IfModule>
  
  <IfModule mod_php5.c>
    DocumentRoot /usr/local/ispconfig/interface/web/
    AddType application/x-httpd-php .php
    <Directory /usr/local/ispconfig/interface/web>
      # php_admin_value open_basedir "/usr/local/ispconfig/interface:/usr/share:/tmp"
      Options FollowSymLinks
      AllowOverride None
      Order allow,deny
      Allow from all
	  php_value magic_quotes_gpc        0
    </Directory>
  </IfModule>
  
  # ErrorLog /var/log/apache2/error.log
  # CustomLog /var/log/apache2/access.log combined
  ServerSignature Off
  
  <IfModule mod_security2.c>
    SecRuleEngine Off
  </IfModule>

  # SSL Configuration
  SSLEngine On
  SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt
  SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key

  <Directory /usr/local/ispconfig/interface/web/>
    AuthName "Login"
    AuthType Basic
    AuthUserFile /var/www/ispconfig/.htpasswd
    Require user admin
  </Directory>
</VirtualHost>

<Directory /var/www/php-cgi-scripts>
    AllowOverride None
    Order Deny,Allow
    Deny from all
</Directory>

<Directory /var/www/php-fcgi-scripts>
    AllowOverride None
    Order Deny,Allow
    Deny from all
</Directory>

SSL hatte ich einmal bereits deaktiviert, hat aber nicht geklappt. Apache2 schon oft neugestartet. Die Vhost datei ist unverändert. Habe ich nicht angefasst (nicht ohne mein wissen :) ).


Ich bewundere übrigens Deine Ausdauer in diesem Forum und möchte Dir vielmals dafür danken :)
 

Till

Administrator
#5
SSl hast Du wo deaktiviert? Das SSL des ispconfig vhosts wird einmalig bei der Installation aktiviert, Du kannst es also nicht in ISPConfig deaktivieren.

Webseiten vhosts haben nichts mit dem ispconfig vhost zu tun, da anderer Port. Ein Fehler der gerne aml gemacht wird ist IP und * zu mischen, denn dann kann apache den vhost nicht mehr zuordnen.

Für ssl vhosts sollte man immer die IP auswählen und nicht *.
 
#6
SSl hast Du wo deaktiviert? Das SSL des ispconfig vhosts wird einmalig bei der Installation aktiviert, Du kannst es also nicht in ISPConfig deaktivieren.

Webseiten vhosts haben nichts mit dem ispconfig vhost zu tun, da anderer Port. Ein Fehler der gerne aml gemacht wird ist IP und * zu mischen, denn dann kann apache den vhost nicht mehr zuordnen.

Für ssl vhosts sollte man immer die IP auswählen und nicht *.
Dann haben wir uns missverstanden. Ich habe hier:

SSL einmal zur Probe deaktiviert und nochmals aktiviert. Hat aber auch nicht geklappt.

Ich hab an der Vhost der Webseite ja nichts geändert, wie man auch sehen kann. Meinst Du der Fehler liegt wo anders?
 
#10
Das Problem hat sich erledigt... Mein Router greift noch immer auf den alten Server zu, bei welchem die Domain per ISPConfig deaktiviert ist.

Peinlich peinlich....

Ich geh mal meinen Router kaputtschlagen und danke Dir für Deine Bemühungen :D
 
#11
Du hast ja einen Screenshot gepostet, dort ist zu sehen IP-Adresse: *, dort muss statt dem * die IP rein, sonst tut SSL nicht ;)

Gruß Sven
Ich habe eine andere Webseite mit SSL und da steht auch nur das * in den Einstellungen. Es funktioniert aber wunderbar und ohne Probleme. Merkwürdig.

Jedenfalls funktioniert jetzt alles einwandfrei. Was mir gestern Kopfzerbrechen bereitet hat ist dass ISPConfig auf eine andere Webseite umleitet. Das sollte man eigentlich unterbinden und das Directory-Listing auch ausschalten können.
Am besten wenn das im Tutorial gleich mit erwähnt wird weil es eine massive Lücke ist wenn jeder Zugriff auf das ISP-Login-Panel hat.
 

Till

Administrator
#13
Jedenfalls funktioniert jetzt alles einwandfrei. Was mir gestern Kopfzerbrechen bereitet hat ist dass ISPConfig auf eine andere Webseite umleitet.
ISPConfig leitet da garnichts um, denn um das zu tum müsste ISPConfig ein http server sein und kein controlpanel. Was Du beschreibst ist das ganz normale Verhalten des apache webservers, hat also nichts mit ispconfig zu tun. Wenn Du auf eine nicht existierende webseite zugreift, dann liefert apache die erste website aus welche die gleiche IP verwendet.

Das sollte man eigentlich unterbinden und das Directory-Listing auch ausschalten können. Am besten wenn das im Tutorial gleich mit erwähnt wird weil es eine massive Lücke ist wenn jeder Zugriff auf das ISP-Login-Panel hat.
Es ist erstens keineLücke da niemand auf das Controlpanel zugreifen kann denn dazu benötigt er Usernamen und Passwort und zweitens ist auch das Listing des Verzeichnis nicht möglich wenn Du der Anleitung folgst, denn dass Du den default host abgeschalten sollst steht nicht in der Anleitung und der daefualt vhost ist standardmäßig akziv wenn Du die Distribution instalierst. Also bitte nicht die Anleitung für Deine manuellen Änderungen verantwortlich machen.

Das
 
#14
Es ist erstens keineLücke da niemand auf das Controlpanel zugreifen kann denn dazu benötigt er Usernamen und Passwort und zweitens ist auch das Listing des Verzeichnis nicht möglich wenn Du der Anleitung folgst, denn dass Du den default host abgeschalten sollst steht nicht in der Anleitung und der daefualt vhost ist standardmäßig akziv wenn Du die Distribution instalierst. Also bitte nicht die Anleitung für Deine manuellen Änderungen verantwortlich machen.
Es ist eine Sicherheitslücke wenn jemand auf ein Panel zugreifen kann. Egal ob Phpmyadmin, Ispconfig oder sonstwas. Es besteht immer ein potenzielles Risiko dass jemand eine Lücke kennt und diese ausnutzen könnte. Deshalb ist eine zusätzliche Sicherung immer ratsam.

Ich habe die Anleitung haargenau befolgt und die default abgeschaltet eben weil es nicht ging. Da wollte ich eben erst einmal wissen wo der Fehler herkommt um die Ursache zu finden.
 

Till

Administrator
#15
Es ist eine Sicherheitslücke wenn jemand auf ein Panel zugreifen kann. Egal ob Phpmyadmin, Ispconfig oder sonstwas. Es besteht immer ein potenzielles Risiko dass jemand eine Lücke kennt und diese ausnutzen könnte. Deshalb ist eine zusätzliche Sicherung immer ratsam.
Nein, dass ist es nicht und zwar aus einem ganz einfachen Grund, wenn man auf ein Panel nicht zugreifen (egal um welche Software es sich handelt) dann kann man es auch nicht verwenden. Dir bleibt natürlich vorbehalten es noch zusätzlich durch ein .htaccess zu schützen, notwendig ist dies aber nicht. Wenn Du es ganz sicher haben willst, zieh am besten den Netzwerkstecker Deines Servers raus, dann läuft alle Software auf dem Server einwandfrei und Du bist sicher dass keiner darauf zugreifen kann, das funktioniert auch mit ISPConfig ;)

Ich habe die Anleitung haargenau befolgt und die default abgeschaltet eben weil es nicht ging. Da wollte ich eben erst einmal wissen wo der Fehler herkommt um die Ursache zu finden.
Es läuft alles einwandfrei nach der Anleitung mit eingeschalteter default Datei, ich installiere nach der regelmäßig Server und musste noch nie die default Datei ausschalten. Wenn Du sie entfernst und dann geht was nicht, dann kannst Du es ja wohl kaum der Anleitung anlasten.
 
#16
Wozu der Kleingartenkrieg? ;) Bei entsprechendem Know How bin ich als Admin durchaus in der Lage den Paranoidmodus hochzufahren. Wenn ich als Admin darauf angewiesen bin mich 100% an der Anleitung zu orientieren sollte ich mich evtl fragen ob ich an der richtigen Stelle sitze.
Ich habe auch einen Server laufen der 100 Crypted ist, dessen tty alle deaktiviert sind, welcher beim Booten die Integrität der Dateien des Bootsectors via Script testet, bevor das Crpted OS hochgefahren wird usw usw, von den Sicherungen im OS ganz zu schweigen.... usw usw .......
Aber wir reden hier von einer Anleitung die einfach ein grundsätzlich sauberes und im normalfall sicheres System abbilden soll, genau das ist gegeben.
Also was soll die Diskussion?


Gruß Sven
 
Zuletzt bearbeitet:
#17
Die Tutorials hier sind für die breite Masse ausgelegt und daher auch als "ideal" zu bezeichnen. Nicht für jedermann, aber halt für die meisten gut bis sehr gut.

Man kann ISPConfig 3 auch ohne Probleme mit .htaccess betreiben, die Frage ob das wirklich Sinn macht muss man sich halt selber stellen - gravierende Sicherheitslücken hat es meines Wissens noch nicht gegeben in diesem Panel. ISPConfig 2 fand ich nie so angenehm, cPanel, Plesk, Webmin und Confixx auch nicht wirklich - hauptsächlich wegen der Sicherheit. .htaccess-Schutz kann man auch hacken wenn Apache schlecht eingestellt ist, dauert halt alles etwas länger (Brute-Force-Methode oder alte Apache-Version als Beispiel).

Ich bin 24 Stunden am Tag im "Paranoidmodus", auch bei seriösen Anbietern ist alles verschlüsselt, der Komfort null und alles extra gesichert. Webmail, PhpMyAdmin gibts bei mir einfach nicht. Da ist noch nie was gewesen die letzten 3 Jahre, trotz Hunderttausenden von unique Visits im Monat. Der Port von ISPConfig ist bei mir auch so richtig im Nirvana, kein Portscanner hat meinen Logs nach das jemals festgestellt das diese Software installiert ist. Managed Server müssen auch nicht schlecht sein, für Leute die sich das wie ich z.B. 2007 noch nicht 100 % zutrauten das Richtige. Am meisten wird noch dank Lücken in der Website z.B. durch PHP gehackt.
 

nowayback

Well-Known Member
#18
das ist falsch... meist sind es die dinge die mit hilfe von php programiert wurden... sonst könntest auch sagen das fast alle Programme durch C++ oder eine der artverwandten gehackt wurden - was meist auch nicht stimmt ;)

Ansonsten kann ich nur meinen Vorrednern zustimmen... Ausgiebige Analyse von ISPConfig 3.0.x hat nichts - auch nicht im quelltext - beinhaltet was sich meiner Meinung nach als Problem dargestellt hat. Danach habe ich es nicht weiter beachtet da ich ISPConfig immernoch nicht produktiv einsetze sondern nur für meinen privaten Server.

Grüße
nwb
 
#19
das ist falsch... meist sind es die dinge die mit hilfe von php programiert wurden
Ein ganz genauer, dies war ja gemeint ;) Hätte ich zugegeben besser ausdrücken können.

ISPConfig 3 kann man im Gegensatz zu Version 2 gut kommerziell produktiv einsetzen - auch für Kunden etwas angepasst. Plesk und Co. machen es nicht besser, aber grafisch schöner wie ich finde. Man darf nicht vergessen, es ist kostenlos und der Support hier seit Jahren kontinuierlich echt gut. Wenn ich mir die peinliche Konkurrenz zum Teil so ansehe wo man manchmal denkt die Coder haben selbst keinen Plan was die da so machen...
 

nowayback

Well-Known Member
#20
ISPConfig 3 kann man im Gegensatz zu Version 2 gut kommerziell produktiv einsetzen - auch für Kunden etwas angepasst. Plesk und Co. machen es nicht besser, aber grafisch schöner wie ich finde. Man darf nicht vergessen, es ist kostenlos und der Support hier seit Jahren kontinuierlich echt gut. Wenn ich mir die peinliche Konkurrenz zum Teil so ansehe wo man manchmal denkt die Coder haben selbst keinen Plan was die da so machen...
Joar da kann ich dir nur zustimmen... daher sind Plesk und whmcs oder wie das zeug alles heißt auch bei mir nicht im Einsatz... ;)

Grüße und ein heißes Wochenende :)
nwb
 

Werbung

Top