Apache Friends Support Forum

[Krischu]

Ubuntu 18.04 LTS
apache 2.4.29

Ich bin ratlos. Habe eine Reihe von VHosts, die alle mittels eines Redirect permanent / https://domain.de/ von http
nach https umgeleitet werden. Einen wollte ich debuggen und habe den Logfile auf einen anderen umgelenkt.
Im access.log erscheint nichts (was ja dann auch so sein sollte), aber der umgeleitete Logfile bleibt leer.

Code: Select all

<VirtualHost *:80>
        ServerAdmin webmaster@mydomain.de
        ServerName mydomain.de
        ServerAlias www.mydomain.de web.mydomain.de
        DocumentRoot /var/www/de.mydomain.www
        Redirect permanent / https://mydomain.de/
</VirtualHost>

<VirtualHost *.443>
        ServerAdmin webmaster@mydomain.de

        ServerName mydomain.de
        ServerAlias www.mydomain.de web.mydomain.de

        DocumentRoot /var/www/de.mydomain.www
        ServerSignature Off

        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /var/www/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from all
        </Directory>

        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/mydomain_error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
#       LogLevel warn
        LogLevel debug

        CustomLog ${APACHE_LOG_DIR}/mydomain_access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>


Ist da irgendwo ein Fehler?

[Nobbie]

Da ist überhaupt kein SSL Coding im VirtualHost, weder eine SSLEngine aktiviert, noch ein Zertifikat angegeben. Wahrscheinlich steigt Apache sofort aus.

[Krischu]

Danke für den Hinweis. Das hatte ich total übersehen. Ich benutze Letsencrypt Zertifikate. Da hat wohl certbot nicht gegriffen.
Ich hatte zwei Files, die vom certbot Kommando kopiert wurden in ...-le-ssl.conf, und in andere wurden die SSL Zeilen hineineditiert.

Es sieht jetzt besser aus. Es steht schon mal was im error.log:

Code: Select all

[Tue Jun 27 12:39:11.705066 2023] [ssl:info] [pid 18153] AH01914: Configuring server mydomain.de:443 for SSL protocol
[Tue Jun 27 12:39:11.705085 2023] [ssl:debug] [pid 18153] ssl_engine_init.c(1705): AH: Init: (mydomain.de:443) mod_md support is unavailable.
[Tue Jun 27 12:39:11.705224 2023] [ssl:debug] [pid 18153] ssl_engine_init.c(492): AH01893: Configuring TLS extension handling
[Tue Jun 27 12:39:11.705659 2023] [ssl:debug] [pid 18153] ssl_util_ssl.c(470): AH02412: [mydomain.de:443] Cert matches for name 'mydomain.de' [subject: CN=mydomain.de / issuer: CN=R3,O=Let's Encrypt,C=US / serial: 0499C6F89XXXXXXXXXXXXXXXXXXXXXXXXXXX / notbefore: Jun 24 07:26:21 2023 GMT / notafter: Sep 22 07:26:20 2023 GMT]
[Tue Jun 27 12:39:11.705670 2023] [ssl:info] [pid 18153] AH02568: Certificate and private key mydomain.de:443:0 configured from /etc/letsencrypt/live/mydomain.de/fullchain.pem and /etc/letsencrypt/live/mydomain.de/privkey.pem
[Tue Jun 27 12:39:11.772475 2023] [ssl:info] [pid 18188] AH01914: Configuring server mydomain.de:443 for SSL protocol
[Tue Jun 27 12:39:11.772484 2023] [ssl:debug] [pid 18188] ssl_engine_init.c(1705): AH: Init: (mydomain.de:443) mod_md support is unavailable.
[Tue Jun 27 12:39:11.772624 2023] [ssl:debug] [pid 18188] ssl_engine_init.c(492): AH01893: Configuring TLS extension handling
[Tue Jun 27 12:39:11.773040 2023] [ssl:debug] [pid 18188] ssl_util_ssl.c(470): AH02412: [mydomain.de:443] Cert matches for name 'mydomain.de' [subject: CN=mydomain.de / issuer: CN=R3,O=Let's Encrypt,C=US / serial: 0499C6F899XXXXXXXXXXXXXXXXXXXXXXXXXX / notbefore: Jun 24 07:26:21 2023 GMT / notafter: Sep 22 07:26:20 2023 GMT]
[Tue Jun 27 12:39:11.773050 2023] [ssl:info] [pid 18188] AH02568: Certificate and private key mydomain.de:443:0 configured from /etc/letsencrypt/live/mydomain.de/fullchain.pem and /etc/letsencrypt/live/mydomain.de/privkey.pem



[Nobbie]

Übrigens ist auch "Order, Deny, Allow" veraltete Syntax. Schon seit Apache 2.x wird stattdessen das Modul mod_authz_core und mod_authz_host verwendet mit der zentralen Anweisung "Require....".

Siehe https://httpd.apache.org/docs/2.4/howto/access.html

[Krischu]

Übrigens ist auch "Order, Deny, Allow" veraltete Syntax. Schon seit Apache 2.x wird stattdessen das Modul mod_authz_core und mod_authz_host verwendet mit der zentralen Anweisung "Require....".

Siehe https://httpd.apache.org/docs/2.4/howto/access.html

Danke für den Hinweis. Werde ich später bereinigen. Zuerst muß ich weiter suchen, warum die Seite nicht richtig aufgerufen wird.

Was hat

Code: Select all

mod_md support is unavailable.

im error.log zu bedeuten?

[Nobbie]

Das hat anscheinend irgendetwas mit Zertifikaten von LetsEncrypt zu tun, wahrscheinlich fehlt dieses Modul in Xampp und wird von LetsEncrypt angemault. Ich habe die Meldung einfach in Google eingegeben, da findest Du sicherlich auch die Bedeutung.

P.S.: Ich weiss zwar nicht, was das genaue Problem ist, aber ich würde als erstes die Allow, Deny und Order Klauseln rauswerfen und durch die richtigen Require Klauseln ersetzen. Sonst darf Apache ggf. nicht auf den DocumentRoot zugreifen. Und anscheinend verwendest Du gar kein Xampp, hier ist eigentlich das Xampp Forum. Die Ubuntu Apache Umgebung kenne ich nicht.

[Krischu]

Ach so, danke. Nee, XAMPP ist nicht im Spiel. Werde mal so vorgehen, wie Du vorgeschlagen hast.

[Krischu]

Vielleicht kann mir doch jemand helfen. Diese Require Syntax muß man auch erst mal verstehen.
Ich habe jetzt überall folgende Ersetzungen vorgenommen:

Code: Select all

        <Directory /var/www/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
#               Order allow,deny
#               allow from all
                Require all granted
        </Directory>

Was mache ich hier?:

Code: Select all

Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

Und, da ich mit der Frage, warum z.B. eine index.html, die ich zu Debugzwecken in die DocumentRoot gelegt habe, einfach nicht angerührt wird, noch kein Stück weitergekommen bin: wie kann ich noch tiefer bebuggen, was genau abläuft beim Zugriff?

[Nobbie]

Was mache ich hier?:

Das steht doch als allererstes(!) in dem Link von oben, "Require ip ....". Ich würde allerdings statt der Einschränkung auf /usr/share/doc einfach den "Alias /doc ..." in den VirtualHost für localhost verschieben, bewirkt das gleiche in grün und ist wesentlich besser zu lesen und zu warten.

Und, da ich mit der Frage, warum z.B. eine index.html, die ich zu Debugzwecken in die DocumentRoot gelegt habe, einfach nicht angerührt wird, noch kein Stück weitergekommen bin: wie kann ich noch tiefer bebuggen, was genau abläuft beim Zugriff?

LogLevel debug und dann hoffen, dass man in den Logs einen Hinweis findet. Wenn irgendein komplizierter Rewrite daneben geht, ist die Suche erschwert, ich würde deswegen erst einmal die Zielseite in einem einfachen Kontext (ohne Rewrite usw.) aufrufen, ob sie überhaupt gefunden wird. Und im vollen Kontext sollten ja auch irgendwelche Fehlermeldungen oder irgendein bestimmtes Verhalten auftreten. Wir wissen hier gar nichts.

[Altrea]

Require local

Quelle: https://httpd.apache.org/docs/2.4/mod/m ... l#reqlocal

[Krischu]

Code: Select all

Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
     *Order deny,allow
        Deny from all*
        Require local
    </Directory>


local, so weit so gut. Aber durch was ersetze ich Order deny, allow Deny from all?
<RequireNone>
</RequireNone> ?

[Nobbie]

Wieso liest Du nicht einfach die Apache Dokumentation? Das hat jeder von uns getan, der es wissen wollte. Bei allem Verständnis, aber dieses Forum ist KEIN Ersatz dafür, dass man Dokumentation liest und sich die notwendigen Kenntnisse aneignet. Die (hervorragende!) Apache Dokumentation erklärt alles und alles an Hand von vielen aussagekräftigen Beispielen:

https://httpd.apache.org/docs/2.4/mod/m ... _core.html

Da musst Du durch, das geht nicht anders. Du hast so schon fast alles von uns vorgekaut bekommen, ich selbst gehe nicht noch tiefer, dann kann ich es auch gleich alles selbst machen.

[Krischu]

Gut. Werde die Dokumentation lesen und danach vorgehen.

Ungeachtet dessen habe ich immer noch das Problem, daß ein Servername offenbar nicht von dem dafür vorgesehenen conf-File konfiguriert wird.
Es sind mehrere Domänen auf einer IP versammelt.
Wenn ich den conf File aus der sites-enabled entferne, wird der Name trotzdem bedient aus der 000-..conf.

Kann man apache so starten, daß man mitlesen kann, was genau passiert? Welche conf Files inkludiert werden etc. ?

[Nobbie]

Ich kenne keine Möglichkeit. Nur das Logging bzw. LogLevel Debug.

Mit der Option - S zeigt Apache immerhin die VirtualHosts (und einiges mehr) an, die er kennt:

httpd -S

[Krischu]

Ich kenne keine Möglichkeit. Nur das Logging bzw. LogLevel Debug.

Mit der Option - S zeigt Apache immerhin die VirtualHosts (und einiges mehr) an, die er kennt:

httpd -S

Danke. Damit bin ich ein Stück weitergekommen. Unter Ubuntu 18.04 mußte ich allerdings

Code: Select all

apachectl -S

aufrufen.
Das bringt u.A. noch folgende Fehlermeldung auf stderr:

Code: Select all

[Sun Jul 02 12:51:57.718264 2023] [core:error] [pid 4517] (EAI 2)Name or service not known: AH00547: Could not resolve host name *.443 -- ignoring!

Das sieht nach einem Konfigurationsfehler aus, allerdings kein Syntaxfehler.