#                                                      
# Django : 2015-12-28                                  
#          vHost graylog                               
#                                                      

<VirtualHost 10.0.0.117:80>
    ServerAdmin webmaster@nausch.org
    ServerName graylog.nausch.org   

    RewriteEngine on
    RewriteCond %{HTTPS} off
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

    # Welche Logdateien sollen beschrieben werden
    CustomLog logs/graylog_access.log combined   
    ErrorLog  logs/graylog_error.log             
</VirtualHost>                                   
<VirtualHost 10.0.0.117:443>                      
    ServerAdmin webmaster@nausch.org             
    ServerName graylog.nausch.org                
    ServerPath /                                 

    # Wer soll Zugriff auf die Webseite(n) bekommen?
    <Proxy *>                                       
        Options +FollowSymLinks +Multiviews -Indexes
        AllowOverride None                          
        AuthType Basic                              
        AuthName "Fuer den Zugriff auf den Webserver bitte Anmeldedaten eingeben!"
        AuthBasicProvider ldap                                                    
        AuthLDAPUrl ldaps://openldap.dmz.nausch.org:636/ou=People,dc=nausch,dc=org?uid
        AuthLDAPBindDN cn=Technischer_User,dc=nausch,dc=org                           
        AuthLDAPBindPassword "e1n531f!D4xIi57n393I1354u!"                       
        AuthLDAPBindAuthoritative on                                                  
        Require ldap-user django icinga2                                       
    </Proxy>                                                                          

    # Welcher Inhalt soll angezeigt bzw. auf welchen Server sollen die HTTP-Requests weitergeleitet werden?
    ProxyRequests Off                                                                                      
    ProxyPreserveHost On                                                                                   
    ProxyPass / http://127.0.0.1:9000/                                                                    
    ProxyPassReverse / http://127.0.0.1:9000/                                                             

    # Welche Logdateien sollen beschrieben werden
    CustomLog logs/graylog_access.log combined   
    ErrorLog  logs/graylog_error.log             

    # Absicherung der Übertragung mit Hilfe von TLS
    # Konfiguration bei Verwendung von mod_gnutls  
    <IfModule !mod_ssl.c>                          
        <IfModule mod_gnutls.c>                    
            # Django : 2015-10-29 - TLS-Verschlüsselung mit Hilfe von mod_gnutls
            GnuTLSEnable on                                                     
            # Definition der anzubietenden Protokolle und Ciphers               
            GnuTLSPriorities PFS:-VERS-TLS-ALL:+VERS-TLS1.2:-ARCFOUR-128:+COMP-NULL:+CURVE-SECP384R1:+CURVE-SECP521R1
            # Schlüsseldatei, mit der der CSR erstellt wurde                                                         
            GnuTLSKeyFile /etc/pki/tls/private/graylog.nausch.org.serverkey.pem                                      
            # Zertifikatsdatei inkl. ggf. notwendiger Zwischen- und Root-Zertifikaten                                
            # 1) Server-Zertifikat, 2) Intermediate-Root-Zertifikat und 3) Root-Zertifikat der CA
            GnuTLSCertificateFile /etc/pki/tls/certs/graylog.nausch.org.certificatechain_150612.pem
            # Definition der Schlüssellänge für DHE und ECDHE
            # DHE Schlüssel mit einer Schlüssellänge von 4096 Bit verwenden; dieser wird 1x pro Tag via cronjob
            # (/etc/cron.daily/edh_keygen) neu generiert und der Neustart des nginx-Daemon veranlasst!
            GnuTLSDHFile /etc/pki/tls/private/dh_4096.pem
            # Session-Tickets für Clients nicht anbieten (dieser könnte versuchen über Tickets die Session zu cachen).
            GnuTLSSessionTickets off
        </IfModule>
    </IfModule>
    # Konfiguration bei Verwendung von mod_ssl
    <IfModule mod_ssl.c>
        <IfModule !mod_gnutls.c>
           # Django : 2015-10-04 - TLS-Verschlüsselung mit Hilfe von mod_ssl
            SSLEngine on
            # Definition der anzubietenden Protokolle
            SSLProtocol All -SSLv2 -SSLv3
            # Definition der Cipher
            SSLCipherSuite "AES256+EECDH +AEAD"
            # Schlüsseldatei, mit der der CSR erstellt wurde
            SSLCertificateKeyFile /etc/pki/tls/private/graylog.nausch.org.serverkey.pem
            # Zertifikatsdatei, die von der CA signiert wurde
            SSLCertificateFile /etc/pki/tls/certs/graylog.nausch.org.certificate_150612.pem
            # Zertifikatsdatei des bzw. der Intermediate-Zertifikate(s)
            SSLCertificateChainFile /etc/pki/tls/certs/CAcert_class3.pem
            # Änderung der Cipherorder der Clienets verneinen
            SSLHonorCipherOrder on
            # TLS 1.0 Kompremmierung deaktivieren (CRIME attacks)
            SSLCompression off
        </IfModule>
    </IfModule>

    # special stuff ###

    # HTTP Strict Transport Security (HSTS), bei dem der Server dem Client im HTTP-Header mitteilt,
    # dass dieser nur noch verschlüsselt mit dem Server kommunizieren soll.
    Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

    # This header enables the Cross-site scripting (XSS) filter built into most recent web browsers.
    # It's usually enabled by default anyway, so the role of this header is to re-enable the filter for
    # this particular website if it was disabled by the user.
    # https://www.owasp.org/index.php/List_of_useful_HTTP_headers
    Header set X-XSS-Protection "1; mode=block"

    # when serving user-supplied content, include a X-Content-Type-Options: nosniff header along with the Content-Type: header,
    # to disable content-type sniffing on some browsers.
    # https://www.owasp.org/index.php/List_of_useful_HTTP_headers
    # currently suppoorted in IE > 8 http://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx
    # http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx
    # 'soon' on Firefox https://bugzilla.mozilla.org/show_bug.cgi?id=471020
    Header set X-Content-Type-Options nosniff

    # config to don't allow the browser to render the page inside an frame or iframe
    # and avoid clickjacking http://en.wikipedia.org/wiki/Clickjacking
    # if you need to allow [i]frames, you can use SAMEORIGIN or even set an uri with ALLOW-FROM uri
    # https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options
    header set X-Frame-Options SAMEORIGIN

</VirtualHost>