ErrorLog für Apache-Proxy setzen

Alles, was den Apache betrifft, kann hier besprochen werden.

ErrorLog für Apache-Proxy setzen

Postby Kalex » 01. October 2010 08:01

Hallo,
ich habe in meiner httpd.conf aktuell diesen Block zu stehen.
Code: Select all
<Proxy *>
    Order deny,allow
    Allow from all
    AuthType Basic
    AuthName "Password Required"
    AuthUserFile password.file
    AuthGroupFile group.file
    Require valid-user
   
    #ErrorLog logs/ApacheProxy-Error.log
    #CustomLog logs/ApacheProxy-access.log combined
   
</Proxy>

Wie man sieht habe ich momentan ErrorLog und CustomLog ausgeklammert, da der error-log dazu meint: "ErrorLog is not allowed here."
Gibt es eine andere Möglichkeit alle Logs die die Proxynutzung betreffen auf ein eigenes Logfile umzuleiten?

Und noch eine etwas unwichtigere Frage am Rande, aktuell nutze ich wie man sieht ein BasicAuth um mich beim Proxy anzumelden, ich hatte das zuvor mal über die Freigabe von IP-Adressen gelöst gehabt.
Gibt es eine Möglichkeit den o.g. Block so umzubauen, dass ich wieder IPs freigeben kann und die BasicAuth-Abfrage nur für IPs Anwendung findet die sich nicht in meiner Whitelist befinden?
Kalex
 
Posts: 3
Joined: 30. September 2010 11:34

Re: ErrorLog für Apache-Proxy setzen

Postby Nobbie » 01. October 2010 10:09

Kalex wrote:Wie man sieht habe ich momentan ErrorLog und CustomLog ausgeklammert, da der error-log dazu meint: "ErrorLog is not allowed here."
Gibt es eine andere Möglichkeit alle Logs die die Proxynutzung betreffen auf ein eigenes Logfile umzuleiten?


Definiere für den Proxy einen eigenen VirtualHost (das ist sowieso mehr als sinnvoll) und dort kannst Du ein eigenes Logging festlegen.

Kalex wrote:Und noch eine etwas unwichtigere Frage am Rande, aktuell nutze ich wie man sieht ein BasicAuth um mich beim Proxy anzumelden, ich hatte das zuvor mal über die Freigabe von IP-Adressen gelöst gehabt.
Gibt es eine Möglichkeit den o.g. Block so umzubauen, dass ich wieder IPs freigeben kann und die BasicAuth-Abfrage nur für IPs Anwendung findet die sich nicht in meiner Whitelist befinden?


Ja. Das Stichwort lautet "Satisfy Any" in Verbindung mit "Allow From ..." bzw. Authorisierung. In diesem Tutorial über die Satisfy Klausel steht ein konkretes Beispiel drin, wie so etwas aussehen kann: http://buecher.lingoworld.de/apache2/showdir.php?id=680

Bei der Allow From Klausel kannst Du beliebig viele IPs angeben (Deine "Whitelist"). Das geht auch mit Netzmasken, also beispielsweise "Allow From 192.168.1.0/24" das entspricht dem Bereich 192.168.0.xxx, Subnetmask ist dann 255.255.255.0.
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Re: ErrorLog für Apache-Proxy setzen

Postby Kalex » 01. October 2010 12:00

Danke, die Idee mit Satisfy funktioniert, aber es hapert noch an der Portbelegung.

Mein Block sieht nun folgendermaßen aus:
Code: Select all
<Proxy *:81>
   Order Deny,Allow
   Deny from all
   Allow from 127.0.0.1/255.255.255.0 [...]
   AuthType Basic
   AuthName "Password Required"
   AuthUserFile password.file
   AuthGroupFile group.file
   require valid-user
   Satisfy Any
</Proxy>


Außerdem gab ich als VirtualHost an:
Code: Select all
<VirtualHost *:81>
</VirtualHost>


Bisher bekomme ich auf Port 81 keinen Proxyserver erreicht, ich vermute, dass in der VirtualHost-Deklaration etwas fehlt, oder?
Kalex
 
Posts: 3
Joined: 30. September 2010 11:34

Re: ErrorLog für Apache-Proxy setzen

Postby Nobbie » 01. October 2010 13:42

Kalex wrote:ich vermute, dass in der VirtualHost-Deklaration etwas fehlt, oder?


Wenn das oben gezeigte wirklich die "Deklaration" des VirtualHost ist, ja dann fehlt "etwas". Nämlich ALLES. Leer ist die Definition sinnfrei.

Als allerwichtigstes (ist mir fast schon peinlich, das hier zu schreiben) gehört natürlich die Proxydefinition da hinein. Und ein Servername könnte auch nicht richtig schädlich sein. Und die ErrorLog Anweisung (das war ja der eigentlich Sinn). Und ohne NameVirtualHost Anweisung (über den VirtualHosts) läuft ein NameBased VirtualHost sowieso auch nicht richtig.

Ggf. mußt Du auch noch eine LISTEN-Direktive auf Port 81 irgendwo zufügen (das kann ich aber nicht mit Sicherheit sagen, weil ich Deine Konfiguration nicht kenne).

P.S.: Ich habe so das Gefühl, dass Du auch die <Proxy..> DIrektive nicht so richtig verstanden hast. Auch da ist es sinnvoll, das gleiche Tutorial wie oben mal durchzuarbeiten, dort wird der Proxy mit VirtualHost auch erklärt: http://buecher.lingoworld.de/apache2/mod_proxy.html
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Re: ErrorLog für Apache-Proxy setzen

Postby Kalex » 01. October 2010 16:01

Oh, da ist mir in der letzten Minute vor der Mittagspause wohl ein grober, peinlicher Denkfehler untergekommen.
So siehts besser aus und läuft sogar:
Code: Select all
Listen 81
<VirtualHost xxx.xxx.xxx.xxx:81>
ProxyVia block
ProxyRequests On
<Proxy *>

   Order Deny,Allow
   Deny from all
   Allow from 127.0.0.1/255.255.255.0   [...]
    AuthType Basic
    AuthName "Password Required"
    AuthUserFile password.file
    AuthGroupFile group.file
   require valid-user
   
   Satisfy Any
</Proxy>
ErrorLog logs/ApacheProxy-Error.log
CustomLog logs/ApacheProxy-access.log combined
</VirtualHost>


Außerdem sollte man im globalen Bereich, also außerhalb der VirtualHost, noch ProxyRequests aus Sicherheitsgründen auf off setzen.


P.S.: Ich habe so das Gefühl, dass Du auch die <Proxy..> DIrektive nicht so richtig verstanden hast.

Worauf beziehst du dich hierbei?
Sollte ich im <Proxy *>-Block einen Fehler oder gar eine Sicherheitslücke haben, bitte ich um Aufklärung.
Kalex
 
Posts: 3
Joined: 30. September 2010 11:34

Re: ErrorLog für Apache-Proxy setzen

Postby Nobbie » 01. October 2010 16:13

Kalex wrote:
P.S.: Ich habe so das Gefühl, dass Du auch die <Proxy..> DIrektive nicht so richtig verstanden hast.

Worauf beziehst du dich hierbei?


Auf das Posting darüber, der frei stehende "<Proxy *:81>" ist ziemlicher Käse gewesen.
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04


Return to Apache

Who is online

Users browsing this forum: No registered users and 5 guests