Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- centos:apc [08.01.2017 22:32. ] – [APC UPS Daemon unter CentOS 7.x] django
+++ centos:apc [22.07.2019 14:52. ] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 854: / Zeile 854: @@
 ===== apcupsd-cgi =====
+Eine weitere Möglichkeit zur Visualisierung der Stati unseres APCUPS-Daemon ist die Verwendung einer WEB-GUI, so dass von berechtigten Hosts, Netzen und/oder Nutzern eine Statusabfrage im Intra- oder auch Internet erfolgen kann. Die notwendigen Programmteile und Konfigurationsbeispiele sind in dem RPm-Paket **apcupsd-cgi** enthalten.
+==== Installation ====
+Dieses Paket installieren wir nun mit Unterstützung des Befehls **yum**.
    # yum install apcupsd-cgi
-<code>
+Den Inhalt des Paketes und auch den Speicherort ermitteln wir wie gewohnt mittels **rpm** und der Option //-qil//.
-Name        : apcupsd-cgi
+   # rpm -qil apcupsd-cgi
+<code>Name        : apcupsd-cgi
 Version     : 3.14.12
 Release     : 1.el7
@@ Zeile 887: / Zeile 892: @@
 /var/www/apcupsd/upsstats.cgi</code>
-===== old stuff =====
+==== Konfiguration ====
-   # vim /etc/httpd/conf.d/vhosts.conf
+Da wir die WEB-GUI über einen separaten Apache vHOST ansprechen wollen deaktivieren wir als erstes die mitgelieferte Apache Konfigurationsdatei //**/etc/httpd/conf.d/apcupsd.conf**// in dem wir alle Zeilen auskommentieren.
-<file apache /etc/httpd/conf.d/vhosts.conf>...
+Die Installation und Konfiguration des **//[[centos:web_c7:apache_1|Apache httpd, "der" WEB-Server unter CentOS 7.x]]//** sowie die Konfiguration //**[[centos:web_c7:apache_2|SSL gesicherter Webserver mit mod_ssl für Apache httpd 2.4 unter CentOS 7.x]]**// werden entsprechend vorausgesetzt.
+   # vim /etc/httpd/conf.d/apcupsd.conf
+<file apache /etc/httpd/conf.d/apcupsd.conf>##
+## apcupsd configuration file for Apache Web server
+##
 #
+## files are off the documentroot of Web server
+#Alias /apcupsd /var/www/apcupsd
+#<Directory /var/www/apcupsd>
+# AddHandler cgi-script cgi pl
+# Options ExecCGI
+#</Directory>
+#
+##
+## Allow only local access at default
+## Change the ".example.com" to match your domain or modify
+## access rights to your needs to enable remote access also.
+##
+#<Directory "/var/www/apcupsd">
+#    DirectoryIndex upsstats.cgi
+#    AllowOverride None
+#    Options ExecCGI Indexes
+#  <IfModule mod_authz_core.c>
+#    # Apache 2.4
+#    Require local
+#  </IfModule>
+#  <IfModule !mod_authz_core.c>
+#    # Apache 2.2
+#    Order deny,allow
+#    Deny from all
+#    Allow from 127.0.0.1
+#    Allow from ::1
+#  </IfModule>
+#</Directory></file>
+Die Konfiguration unseres Apache vHOST erledigen wir mit Hilfe einer eigenen Konfigurationsdatei //**/etc/httpd/conf.d/3rd_apcupsd.conf**//.
+<file bash /etc/httpd/conf.d/3rd_apcupsd.conf>#
 # power.nausch.org
 #
@@ Zeile 898: / Zeile 938: @@
         ServerAdmin webmaster@nausch.org
         ServerName power.nausch.org
-        ServerAlias www.power.nausch.org
         ServerPath /
         DocumentRoot "/var/www/apcupsd"
         AddHandler cgi-script .cgi
-        <Directory "/var/www/apcupsd">
+	DirectoryIndex multimon.cgi
-                Options FollowSymLinks
-                AllowOverride all
+	<Directory /var/www/apcupsd>
-                Order Allow,Deny
+        	Require all granted
-                Allow from all
+        	AddHandler cgi-script cgi pl
-                Options ExecCGI
+        	Options ExecCGI
-        </Directory>
+	</Directory>
         AddType application/x-httpd-php .php
-        DirectoryIndex multimon.cgi
         ErrorLog logs/power_error.log
         CustomLog logs/power_access.log combined
 </VirtualHost>
-...
 </file>
-{{ :centos:apcupsd.png?direct&500 |Bildschirmhardcopy: APC UPS Daemon}}
+Den Zugriff werden wir natürlich entsprechend beschneiden und den Transportweg absichern. Auf unserem HTTP-Proxy-Host legen wir hierzu eine passende vHOST-Konfigurationsdatei an.
+   # vim /etc/httpd/conf.d/3rd_power.conf
+<file apache /etc/httpd/conf.d/3rd_power.conf>#
+# Django : 2015-10-29
+#          vHost power
+#
+# Variablen der Hostvariablen
+Define vhost power
+Define errors_log logs/${vhost}_error.log
+Define access_log logs/${vhost}_access.log
+Define ssl_log logs/${vhost}_ssl_request.log
+<VirtualHost 10.0.0.97:80>
+    ServerAdmin webmaster@nausch.org
+    ServerName ${vhost}.nausch.org
+    RewriteEngine on
+    RewriteCond %{HTTPS} off
+    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
+    # Welche Logdateien sollen beschrieben werden
+    SetEnvIf Remote_Addr "10\.0\.0\.20" dontlog
+    ErrorLog  ${errors_log}
+    CustomLog ${access_log} combined env=!dontlog
+</VirtualHost>
+<VirtualHost 10.0.0.97:443>
+    ServerAdmin webmaster@nausch.org
+    ServerName ${vhost}.nausch.org
+    ServerPath /
+    # Wer soll Zugriff auf die Webseite(n) bekommen?
+    <Proxy *>
+        Options +FollowSymLinks +Multiviews -Indexes
+        AllowOverride None
+        AuthType Basic
+        AuthName "Fuer den Zugriff auf den Webserver bitte Anmeldedaten eingeben!"
+        AuthBasicProvider ldap
+        AuthLDAPUrl ldaps://openldap.dmz.nausch.org:636/ou=People,dc=nausch,dc=org?uid
+        AuthLDAPBindDN cn=TechnischerUser,dc=nausch,dc=org
+        AuthLDAPBindPassword "MwDWrcdRnw95zMt7A5bS/dPnEHuuO7h0"
+        AuthLDAPBindAuthoritative on
+        Require ldap-user django
+    </Proxy>
+   # Welcher Inhalt soll angezeigt bzw. auf welchen Server sollen die HTTP-Requests weitergeleitet werden?
+    ProxyRequests Off
+    ProxyPreserveHost On
+    ProxyPass / http://10.0.0.127/
+    ProxyPassReverse / http://10.0.0.127/
+    # Welche Logdateien sollen beschrieben werden
+    SetEnvIf Remote_Addr "10\.0\.0\.20" dontlog
+    ErrorLog  ${errors_log}
+    CustomLog ${access_log} combined env=!dontlog
+    CustomLog ${ssl_log} "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
+    # Absicherung der Übertragung mit Hilfe von TLS
+    # Django : 2015-10-04 - TLS-Verschlüsselung mit Hilfe von mod_ssl
+    SSLEngine on
+    # Definition der anzubietenden Protokolle
+    SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
+    # Definition der Cipher
+    SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384
+    # Schlüsseldatei, mit der der CSR erstellt wurde
+    SSLCertificateKeyFile /etc/pki/tls/private/power.nausch.org.serverkey.pem
+    # Zertifikatsdatei, die von der CA signiert wurde
+    SSLCertificateFile /etc/pki/tls/certs/power.nausch.org.certificate_161118.pem
+    # Zertifikatsdatei des bzw. der Intermediate-Zertifikate(s)
+    SSLCertificateChainFile /etc/pki/tls/certs/AlphaSSL_Intermediate.certificate.pem
+    # Änderung der Cipherorder der Clients verneinen
+    SSLHonorCipherOrder on
+    # TLS 1.0 Kompremmierung deaktivieren (CRIME attacks)
+    SSLCompression off
+    # Online Certificate Status Protocol stapling zum Prüfen des Gültigkeitsstatus des Serverzertifikats.
+    SSLUseStapling on
+    SSLStaplingResponderTimeout 5
+    SSLStaplingReturnResponderErrors off
+    # HTTP Strict Transport Security (HSTS), bei dem der Server dem Client im HTTP-Header mitteilt,
+    # dass dieser nur noch verschlüsselt mit dem Server kommunizieren soll.
+    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
+    # This header enables the Cross-site scripting (XSS) filter built into most recent web browsers.
+    # It's usually enabled by default anyway, so the role of this header is to re-enable the filter for
+    # this particular website if it was disabled by the user.
+    # https://www.owasp.org/index.php/List_of_useful_HTTP_headers
+    #Header set X-XSS-Protection "1; mode=block"
+    Header always set X-Xss-Protection "1; mode=block"
+    # when serving user-supplied content, include a X-Content-Type-Options: nosniff header along with the Content-Type: header,
+    # to disable content-type sniffing on some browsers.
+    # https://www.owasp.org/index.php/List_of_useful_HTTP_headers
+    # currently suppoorted in IE > 8 http://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx
+    # http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx
+    # 'soon' on Firefox https://bugzilla.mozilla.org/show_bug.cgi?id=471020
+    # Sofern die Datei auch den entsprechenden MIME-Typ "text/css" entspricht, soll der Browser
+    # CSS-Dateien nur als CSS interprätieren.
+    Header always set X-Content-Type-Options nosniff
+    # config to don't allow the browser to render the page inside an frame or iframe
+    # and avoid clickjacking http://en.wikipedia.org/wiki/Clickjacking
+    # if you need to allow [i]frames, you can use SAMEORIGIN or even set an uri with ALLOW-FROM uri
+    # https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options
+    ###header set X-Frame-Options SAMEORIGIN
+    header always set X-Frame-Options DENY
+    # hide server header (apache and php version)
+    Header always unset Server
+    # Only allow JavaScript from the same domain to be run.
+    # don't allow inline JavaScript to run.
+    Header always set X-Content-Security-Policy "allow 'self';"
+    # Add Secure and HTTP only attributes to cookies
+    Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
+    # prevent Clickjacking Attack
+    #Header always append X-Frame-Options SAMEORIGIN
+    Header always set X-Frame-Options "SAMEORIGIN"
+    # hkpk-stuff
+    Header always set Public-Key-Pins "pin-sha256=\"nMiOpb6vUnjCoWCkPkDaG4ND8SNWzFTsQf2ZfruLno0=\"; pin-sha256=\"INhxSQ38nCS6ijaAAyo4xAhAZj9xeL3Xaak+GGiM2fo=\"; max-age=2592000; report-uri=\"https://nausch.report-uri.io/r/default/hpkp/enforce\""
+</VirtualHost></file>
+Bevor wir zur Aktivierung unserer Konfigurationsänderungen den bzw. die HTTP-Daemon einmal durchstarten überprüfen wir unsere Apache-Konfigurationsdateien auf syntaktische Fehler.
+   # apachectl -t
+  Syntax OK
+Ist alles O.K. starten wir den/die Daemon nun einmal neu.
+   # systemctl restart httpd.service
+<html><pre class="code">
+<font style="color: rgb(0, 255, 0)"><b>● </b></font><font style="color: rgb(0, 0, 0)">httpd.service - The Apache HTTP Server
+   Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
+   Active: <font style="color: rgb(0, 255, 0)"><b>active (running) </b></font><font style="color: rgb(0, 0, 0)"> since Mon 2017-01-09 11:03:23 CET; 48s ago
+     Docs: man:httpd(8)
+           man:apachectl(8)
+  Process: 11642 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=0/SUCCESS)
+ Main PID: 11647 (httpd)
+   Status: "Total requests: 2; Current requests/sec: 0.1; Current traffic: 307 B/sec"
+   CGroup: /system.slice/httpd.service
+           ├─11647 /usr/sbin/httpd -DFOREGROUND
+           ├─11648 /usr/sbin/httpd -DFOREGROUND
+           ├─11649 /usr/sbin/httpd -DFOREGROUND
+           ├─11650 /usr/sbin/httpd -DFOREGROUND
+           ├─11651 /usr/sbin/httpd -DFOREGROUND
+           ├─11652 /usr/sbin/httpd -DFOREGROUND
+           └─11699 /usr/sbin/httpd -DFOREGROUND
+Jan 09 11:03:23 vml000127.dmz.nausch.org systemd[1]: Starting The Apache HTTP Server...
+Jan 09 11:03:23 vml000127.dmz.nausch.org systemd[1]: Started The Apache HTTP Server.</font>
+</pre></html>
+Nun starten wir einen Browser und öffnen die zugehörige URL.
+   $ konqueror http://power.nausch.org
+Im ersten Bild sehen wir die Startseite der WEB-GUI.
+{{ :centos:apcupsd-cgi-01.png?direct&800 |BILD: WEB GUI des APCUPS-Daemon}}
+Das zweite Bild zeigt die Übersicht zu den aktuellen Stati unserer USV.
+{{ :centos:apcupsd-cgi-02.png?direct&800 |BILD: WEB GUI des APCUPS-Daemon}}
+Eine Ansicht aller Detailangaben zeigt das dritte Bild.
+{{ :centos:apcupsd-cgi-03.png?direct&800 |BILD: WEB GUI des APCUPS-Daemon}}
+====== Links ======
+  * **[[wiki:start| ⇐ Zurück zu Projekte und Themenkapitel]]**
+  * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**