Update auf ISP 3.0.5.2 SSL Zugriff nicht möglich

#1
Hallo,

ich hätt ees so kurzfristig nicht machen sollen, aber ich habe ein update gemacht, jetzt bekomme ich beim Aufruf von

https://ispconfig.domain.de:8080/

folgenden Fehler im Browser


Warning: require_once(../lib/config.inc.php) [function.require-once]: failed to open stream: Permission denied in /usr/local/ispconfig/interface/web/index.php on line 31

Fatal error: require_once() [function.require]: Failed opening required '../lib/config.inc.php' (include_path='.:/usr/share/php:/usr/share/pear') in /usr/local/ispconfig/interface/web/index.php on line 31


tail -f /var/log/apache2/error.log

[Thu Jul 18 20:17:53 2013] [warn] RSA server certificate CommonName (CN) `ispconfig.domain.de' does NOT match server name!?
[Thu Jul 18 20:17:53 2013] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)


Ich finde den Fehler leider nicht, beim update habe ich das ispconfig Zertifikat nicht neu generieren lassen.

Was könnte ich unternehmen damit ich die ispconfig Seite wieder erreiche?

Danke für Eure Unterstützung.

STEFAN
 
#2

Till

Administrator
#3
Hallo,

also ich habe gerade noch folgenden Beitrag gefunden:

HowtoForge Forums | HowtoForge - Linux Howtos and Tutorials - View Single Post - Admin login failed after upgrading to 3.0.5

nach dem ich:

chmod 660 /usr/local/ispconfig/interface/lib/config.inc.php
/etc/init.d/apache2 restart

gemacht habe komme ich wieder auf das ISPConfig Webinterface.
Die Frage ist ob das der richtige Weg ist oder ob es da nicht einen besseren Weg gibt.

Danke und Gruß
STEFAN
Das ist nicht so ganz der richtige Weg, denn er behebt nicht das eigentliche Problem und macht deinen Server unsicherer. Dein Problem ist dass apache mosd fastcgi nicht installiert oder aktiviert ist und mit dem oben stehenden Infos hast Du einen alten fallback Modus wieder aktiviert. Dein Wordpress Problem hängt wahrscheinlich auch damit zusammen dass fastcgi nicht geht und Dein web zur zeit i mod_php fallback läuft und php daher nicht ins web schreiben kann.
 
#4
Hi Till,

das wundert mich es lief auf dem Server ja bereits vor dem Umzug

server:~# aptitude search fcgid
i libapache2-mod-fcgid

server:~# a2enmod fcgid
Module fcgid already enabled
server:~# a2enmod suexec
Module suexec already enabled

Sieht das soweit gut aus oder habe ich noch etwas übersehen?

Gruß

STEFAN
 

Till

Administrator
#5
das wundert mich es lief auf dem Server ja bereits vor dem Umzug
DEr Server lief dann vorehr in diesem alten Fallback Mode, den wir aber in aktuellen Versionen deaktiviert haben da er unsicher ist.

Du kannst recht einfach prüfen ob es daran liegt. Stll erstmal de Dateien udn Rechte wieder so her wie sie ursprünglich waren, dann editier die Datei:

/etc/apache2/sites-enabled/000-ispconfig.vhost

und kommentier die Zeile:

<IfModule mod_fcgid.c>

aus sowie das schließende </IfModule> dieses Abschnitts. Dann starte apache neu, Du wirst dann wahrscheinlich einen Fehler im error.log haben dass die fcgi Direktiven nicht erlaubt sind, also das Modul nicht geladen ist oder nicht funktioniert.
 
#6
Guten Morgen Till,

ich versteh es jetzt nicht ganz.

server:~# ls -la /etc/apache2/sites-available/ispconfig.*
-rw-r--r-- 1 root root 1544 Feb 14 2012 /etc/apache2/sites-available/ispconfig.conf
-rw-r--r-- 1 root root 1682 Jan 8 2011 /etc/apache2/sites-available/ispconfig.vhost

server:~# ls -la /etc/apache2/sites-enabled/*isp*
lrwxrwxrwx 1 root root 43 Jul 18 18:54 /etc/apache2/sites-enabled/000-ispconfig.conf -> /etc/apache2/sites-available/ispconfig.conf
lrwxrwxrwx 1 root root 34 Jun 25 2012 /etc/apache2/sites-enabled/ispconfig.vhost -> ../sites-available/ispconfig.vhost

Hast du eine Erklärung warum die ispconfig.vhost nicht mit 000- vorhanden ist?


Ich habe in der /etc/apache2/sites-enabled/ispconfig.vhost die
<IfModule mod_fcgid.c>auskommentiert. Allerdings bekomme ich im Wordpress immer noch den Fehler:

“liste.xls” konnte wegen eines Fehlers nicht hochgeladen werden
Die hochgeladene Datei konnte nicht nach wp-content/uploads/2013/07 verschoben werden.

Das ISPConfig kommt aber richtig und ich kann mich auch ordentlich anmelden.

Gruß

STEFAN
 
#8
Hallo Till,

danke für deine Mühe.

cd /var/www/clients/client1/web1/web/wp-content/uploads/2013/
server:/var/www/clients/client1/web1/web/wp-content/uploads/2013# ls -la
total 140
drwxr-xr-x 6 web1 client1 4096 Jul 1 01:46 .
drwxr-xr-x 5 web1 client1 118784 Jul 14 13:19 ..
drwxr-xr-x 2 web1 client1 4096 Apr 29 15:41 04
drwxr-xr-x 2 web1 client1 4096 May 1 10:31 05
drwxr-xr-x 2 web1 client1 4096 Jun 1 02:57 06
drwxr-xr-x 2 web1 client1 4096 Jul 18 16:51 07


ls -la /etc/apache2/sites-enabled/
total 32
drwxr-xr-x 2 root root 12288 Jul 22 18:27 .
drwxr-xr-x 7 root root 4096 Jul 18 20:07 ..
lrwxrwxrwx 1 root root 39 Jul 18 18:54 000-apps.vhost -> /etc/apache2/sites-available/apps.vhost
lrwxrwxrwx 1 root root 43 Jul 18 18:54 000-ispconfig.conf -> /etc/apache2/sites-available/ispconfig.conf
lrwxrwxrwx 1 root root 30 Jul 18 20:12 default-ssl -> ../sites-available/default-ssl
lrwxrwxrwx 1 root root 33 Jul 22 18:27 ispconfig.conf -> ../sites-available/ispconfig.conf
lrwxrwxrwx 1 root root 34 Jul 22 18:27 ispconfig.vhost -> ../sites-available/ispconfig.vhost

irgendwie scheint das komisch zu sein. Habe die Webseiten mit a2dissite deaktiviert apache2 relod sowie a2ensite wieder aktiviert und apache2 reload gemacht. Allerdings bekomme ich wieder zwei mal auf die ispconfig.conf verwiesen, einmal mit 000- einmal ohne.

Gruß

STEFAN
 

Till

Administrator
#9
Du kannst a2dissite dafür nicht nehmen da es den symlink falsch anlegt. Lass bitte die Symlinks mit 000 so und lösche den anderen und starte apache neu.

Die Verzeichnisrechte sind ok. Poste bitte mal den Inhalt der vhost Datei dieses webs.
 

Till

Administrator
#10
Noch zur Erläuterung:

die ispconfig.conf und .vhost muss ganz am Anfang kommen, daher 000 vorweg denn sie schließen Zugrffsmöglichkeiten und sichern den Server, die webs öffnen dann die für sie notwendigen Verzeichnisse. Wenn Du jetzt ispconfig vhost / conf ohne 000 hast, dann kann es sein dass Verzeichnisse die durch ein web geöffnet wurden durch die ispconfig.conf wieder deaktiviert werden.
 
#11
cat /etc/apache2/sites-available/domain.de.vhost
<Directory /var/www/domain.de>
AllowOverride None
Order Deny,Allow
Deny from all
</Directory>

<VirtualHost *:80>
DocumentRoot /var/www/domain.de/web

ServerName domain.de
ServerAlias Domain.de
ServerAdmin webmaster@domain.de

ErrorLog /var/log/ispconfig/httpd/domain.de/error.log

Alias /error/ "/var/www/domain.de/web/error/"
ErrorDocument 400 /error/400.html
ErrorDocument 401 /error/401.html
ErrorDocument 403 /error/403.html
ErrorDocument 404 /error/404.html
ErrorDocument 405 /error/405.html
ErrorDocument 500 /error/500.html
ErrorDocument 502 /error/502.html
ErrorDocument 503 /error/503.html

<IfModule mod_ssl.c>
</IfModule>

<Directory /var/www/domain.de/web>
Options FollowSymLinks
AllowOverride All
Order allow,deny
Allow from all
</Directory>
<Directory /var/www/clients/client1/web1/web>
Options FollowSymLinks
AllowOverride All
Order allow,deny
Allow from all
</Directory>




# suexec enabled
<IfModule mod_suexec.c>
SuexecUserGroup web1 client1
</IfModule>
# Clear PHP settings of this website
<FilesMatch "\.ph(p3?|tml)$">
SetHandler None
</FilesMatch>
# php as fast-cgi enabled
# For config options see: mod_fcgid - Apache HTTP Server
<IfModule mod_fcgid.c>
IdleTimeout 300
ProcessLifeTime 3600
# MaxProcessCount 1000
DefaultMinClassProcessCount 0
DefaultMaxClassProcessCount 100
IPCConnectTimeout 3
IPCCommTimeout 360
BusyTimeout 300
</IfModule>
<Directory /var/www/domain.de/web>
AddHandler fcgid-script .php .php3 .php4 .php5
FCGIWrapper /var/www/php-fcgi-scripts/web1/.php-fcgi-starter .php
Options +ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
<Directory /var/www/clients/client1/web1/web>
AddHandler fcgid-script .php .php3 .php4 .php5
FCGIWrapper /var/www/php-fcgi-scripts/web1/.php-fcgi-starter .php
Options +ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
<IfModule mpm_itk_module>
AssignUserId web1 client1
</IfModule>

<IfModule mod_dav_fs.c>
# Do not execute PHP files in webdav directory
<Directory /var/www/clients/client1/web1/webdav>
<ifModule mod_security2.c>
SecRuleRemoveById 960015
SecRuleRemoveById 960032
</ifModule>
<FilesMatch "\.ph(p3?|tml)$">
SetHandler None
</FilesMatch>
</Directory>
DavLockDB /var/www/clients/client1/web1/tmp/DavLock
# DO NOT REMOVE THE COMMENTS!
# IF YOU REMOVE THEM, WEBDAV WILL NOT WORK ANYMORE!
# WEBDAV BEGIN
# WEBDAV END
</IfModule>
Options +FollowSymLinks
</VirtualHost>


Einige rewrite habe ich jetzt rausgelassen, sind aber noch mit drin.

Die symlinks habe ich angepasst.

Gruß
STEFAN
 
#12
Guten Morgen Till,

das Thema wird immer verrückter, und mir gehen langsam die Ideen aus.

Mein roundcube (webmail) unter https://webmail.domain.de zeigt nur noch
It works!!

Im Verzeichnis

server:/usr/share/roundcube# ls -al
total 24
drwxr-xr-x 6 root root 4096 Jun 13 17:32 .
drwxr-xr-x 131 root root 4096 Jul 15 13:38 ..
lrwxrwxrwx 1 root root 19 Jun 13 17:32 roundcube -> roundcubemail-0.8.2
drwxr-xr-x 11 501 80 4096 Oct 29 2012 roundcubemail-0.7.1
drwxr-xr-x 11 501 80 4096 Jul 23 08:30 roundcubemail-0.8.2
drwxr-xr-x 11 501 80 4096 Jun 13 17:20 roundcubemail-0.9.1
drwxr-xr-x 3 root root 4096 Jul 2 2012 ssl

kann ich nirgends den Inhalt der Seite finden. Die vhost vom webmail schaut aus:

<virtualhost 188.40.204.101:80>
ServerName webmail.domain.de
RedirectMatch permanent ^.*$ https://webmail.domain.de/
</virtualhost>

<VirtualHost 188.40.204.101:443>
ServerAdmin webmaster@domain.de
ServerName webmail.domain.de
DocumentRoot /usr/share/roundcube/roundcube
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /usr/share/roundcube/roundcube>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>

ErrorLog /var/log/apache2/roundcube/error.log

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

CustomLog /var/log/apache2/roundcube/error.log combined

<IfModule mod_ssl.c>
SSLEngine on
SSLCertificateFile /usr/share/roundcube/ssl/webmail.domain.de.crt
SSLCertificateKeyFile /usr/share/roundcube/ssl/webmail.domain.de.key
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
CustomLog /var/log/apache2/roundcube/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</IfModule>

php_value post_max_size 10M
php_value upload_max_filesize 10M

#ServerSignature On
#RewriteEngine on
#RewriteCond %{HTTP_HOST} ^ispconfig.domain.de [NC]
#RewriteRule ^/(.*)$ https://ispconfig.domain.de:8080/$1 [R,L]
#RewriteCond %{HTTP_HOST} ^webmail.domain.de [NC]
#RewriteRule ^/webmail(.*)$ https://webmail.domain.de/$1 [R,L]
</VirtualHost>

Das apache2 logging scheint auch nicht mehr so 100% sauber zu laufen:

server:/var/log/apache2# ls -latrh
-rw-r----- 1 root adm 19K Jul 22 22:54 ssl_access.log.1
-rw-r----- 1 root adm 3.4K Jul 22 23:15 suexec.log.1
-rw-r----- 1 root adm 7.0M Jul 23 00:02 other_vhosts_access.log.1
drwxr-x--- 4 root adm 36K Jul 23 00:02 .
-rw-r----- 1 root adm 27K Jul 23 00:02 error.log.1
drwxr-xr-x 16 root root 24K Jul 23 01:00 ..
-rw-r----- 1 root adm 5.3K Jul 23 08:31 ssl_access.log
-rw-r----- 1 root adm 1.1K Jul 23 08:35 suexec.log
-rw-r----- 1 root adm 6.6K Jul 23 08:35 error.log
-rw-r----- 1 root adm 955K Jul 23 08:37 other_vhosts_access.log

server:/var/log/apache2# ls -latrh access.log*
-rw-r----- 1 root adm 1.5K Jul 2 2012 access.log.2.gz
-rw-r----- 1 root adm 98K Jul 3 2012 access.log.1
-rw-r----- 1 root adm 0 Jul 4 2012 access.log

server:/var/log/apache2# ls -latrh error.log*
-rw-r----- 1 root adm 1.4K Jul 22 00:01 error.log.2.gz
-rw-r----- 1 root adm 27K Jul 23 00:02 error.log.1
-rw-r----- 1 root adm 6.6K Jul 23 08:35 error.log

es scheint so als wenn der apache2 kein access.log mehr schreibt.

Das Ispconfig Webinterface ist sauber erreichbar, meine Webseite Domain.de soweit auch.
Der Upload im wordpress klappt auf einmal auch wieder!

Ich habe in der ispconfig.vhost folgende Zeilen wieder aktiviert und den apache2 danach neu gestartet. Danach den upload sowie das ISPConfig getestet das geht.

<IfModule mod_fcgid.c>
DocumentRoot /var/www/ispconfig/
SuexecUserGroup ispconfig ispconfig
<Directory /var/www/ispconfig/>
Options Indexes FollowSymLinks MultiViews +ExecCGI
AllowOverride AuthConfig Indexes Limit Options FileInfo
AddHandler fcgid-script .php
FCGIWrapper /var/www/php-fcgi-scripts/ispconfig/.php-fcgi-starter .php
Order allow,deny
Allow from all
</Directory>
</IfModule>

Jetzt bleiben die Probleme:
- logging
- webmail

Ich versuche im Moment Fakten zusammen zu sammeln, damit alles an Infos vorhanden sind.

Gruß

STEFAN
 
#14
Hallo,

sorry der späten Antwort. Ja ist er. Jetzt scheint das Webmail aber auch wieder zu klappen.

Jetzt bleibt eigentlich nur noch die Frage nach dem Logfile vom apache2.

Gruß

STEFAN
 
#17
Hallo,

leider kann ich das nicht sagen, da es irgendwie wieder funktionierte.

Jetzt nach Update auf ISPConfig 3.0.5.3 habe ich das Problem wieder. Die ispconfig Oberfläche ist per https leider nicht mehr erreichbar, nur per http funktioniert es Problemlos.

Kann mir dabei nochmal jemand helfen? Ich verstehe nicht das es nach dem Update nicht mehr laufen soll.

Fehlerbild:

nach Update https:

Ein Fehler ist während einer Verbindung mit ispconfig.rr-netz.de:8080 aufgetreten.
SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat.
(Fehlercode: ssl_error_rx_record_too_long)

nach Update http:
funktioniert

alte ispconfig.vhost&ispconfig.conf https:

Warning: require_once(../lib/config.inc.php) [function.require-once]: failed to open stream: Permission denied in /usr/local/ispconfig/interface/web/index.php on line 31
Fatal error: require_once() [function.require]: Failed opening required '../lib/config.inc.php' (include_path='.:/usr/share/php:/usr/share/pear') in /usr/local/ispconfig/interface/web/index.php on line 31

alte ispconfig.vhost&ispconfig.conf http:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>400 Bad Request</title> </head><body> <h1>Bad Request</h1> <p>Your browser sent a request that this server could not understand.<br /> Reason: You're speaking plain HTTP to an SSL-enabled server port.<br /> Instead use the HTTPS scheme to access this URL, please.<br /> <blockquote>Hint: <a href="https://gandor.tec-rrnetz.de:8080/"><b>https://gandor.tec-rrnetz.de:8080/</b></a></blockquote></p> </body></html>


Alle anderen https Seiten funktionieren Problemlos.

Danke und Gruß

STEFAN
 

Till

Administrator
#18
Der php fehler besagt dass mod_fcgi nicht installiert oder aktiviert ist und der ssl fehler besagt dass ssl nicht aktiv it, wahrscheinlich liegt dein ssl cert nicht im richtigen verzeichnis oder hat einen falschen namen.
 
#19
Guten Morgen Till,

das hatten wir doch eigentlich schon ausgeschlossen oder?

Hi Till,

das wundert mich es lief auf dem Server ja bereits vor dem Umzug

server:~# aptitude search fcgid
i libapache2-mod-fcgid

server:~# a2enmod fcgid
Module fcgid already enabled
server:~# a2enmod suexec
Module suexec already enabled

Sieht das soweit gut aus oder habe ich noch etwas übersehen?

Gruß

STEFAN
Habe soeben noch einmal nachgesehen. Es ist immer noch so.

Womit du aber Recht hast ist das beim Zertifikat etwas nicht stimmt.

In /etc/apache2/sites-available/ispconfig.vhost schaut der SSL Bereich wie folgt aus:

# ErrorLog /var/log/apache2/error.log
# CustomLog /var/log/apache2/access.log combined
ServerSignature Off

<IfModule mod_security2.c>
SecRuleEngine Off
</IfModule>

# SSL Configuration
#SSLEngine On
#SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt
#SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key
#SSLCACertificateFile /usr/local/ispconfig/interface/ssl/ispserver.bundle

ls -al /usr/local/ispconfig/interface/ssl
total 24
drwxr-s--- 2 ispconfig ispconfig 4096 Sep 6 2009 .
drwxr-s--- 7 ispconfig ispconfig 4096 Sep 6 2009 ..
-rwxr-x--- 1 ispconfig ispconfig 1042 Sep 6 2009 server.crt
-rwxr-x--- 1 ispconfig ispconfig 834 Sep 6 2009 server.csr
-rwxr-x--- 1 ispconfig ispconfig 887 Sep 6 2009 server.key
-rwxr-x--- 1 ispconfig ispconfig 963 Sep 6 2009 server.key.org

Was ist denn beim Update schiefgelaufen das die Config das anders haben will als die Dateien lauten?

Wie soll ich weiter vorgehen?

Danke und Gruß

STEFAN
 

Till

Administrator
#20
Die SSL dateien in ISPConfig heißen schon immer ispserver.crt und ispserver.key. Deine Dateien heißen anders und können dahre nicht erkannt werden. Du musst sie mal manuell angelegt und konfiguriert haben. benenne sie einfach in ispserver.* um und entferne dann die # vor den zeilen:

#SSLEngine On
#SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt
#SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key

und starte apache neu. Dann wird ein SSL auch nach dem nächsten Update noch funktionieren.
 

Werbung

Top