Запрещенные 403 ошибки при попытке получить доступ к Apache 2.4.7 веб-сервера в браузере
Когда я получаю доступ к веб-серверу Apache с помощью localhost от того же веб-сервера ПК, он показывает страницу значения по умолчанию Apache2 Ubuntu.
Но когда я получаю доступ к веб-серверу Apache с помощью 192.168.0.2, он дает 403 Запрещенных ошибки (Запрещенный, у Вас нет разрешения получить доступ / на этом сервере).
Детали Веб-сервера
- Ubuntu 14.04 LTS
- Версия 2.4.7 Apache
Команды владения
www-data sudo adduser ftpuser www-data
sudo chown -R www-data:ftpuser /var/www
sudo chmod -R g+rwX /var/www
В etc/apache2/apache2.conf файле
ServerName 192.168.0.2
<Directory/>
AllowOverride All
Require all granted
</Directory>
В etc/apache2/port.conf файле
NameVirtualHost *:80
Listen *:80
Виртуальный Хост к одному веб-сайту
<VirtualHost *:80>
ServerName mysite
DocumentRoot /var/www/mysite
<Directory /var/www/mysite>
Options None FollowSymLinks
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
Какие настройки я должен сделать в который место? Помогите...
3 ответа
1. Необходимо настроить/etc/hosts файл как этот:
127.0.0.1 localhost
127.0.0.1 test-site
127.0.1.1 my-hostname
# The following lines are desirable for IPv6 capable hosts. etc...
Где test-site второй "localhost". И my-hostname "Системное имя хоста", определенное в /etc/hostname.
2. Необходимо определить и включить Виртуальный хост (VH):
Существует СПИДОБАРОГРАФ HTTP по умолчанию. Это помещается в /etc/apache2/sites-available/. Имя файла 000-default.conf. Необходимо отредактировать его (можно переименовать его, если Вы хотите или делаете некоторые другие .conf файлы, на основе его), и после этого необходимо включить его.
Можно включить его вручную посредством создания "мягкой, символьной ссылки":
sudo ln -s /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-enabled/
Или можно использовать инструмент Apache2, названный a2ensite, которые делают то же:
sudo a2ensite 000-default.conf
Давайте примем, там имеет 3 Виртуальных Хоста, включил SSL и зарегистрировал частный домен (SOS.info для примера):
/etc/apache2/sites-available/http.SOS.info.conf
/etc/apache2/sites-available/https.SOS.info.conf
И тот, который создается в целях этой темы:
/etc/apache2/sites-available/http.test-site.conf
Содержание Первых 2 VHS:
$ cat /etc/apache2/sites-available/http.SOS.info.conf
<VirtualHost *:80>
ServerName SOS.info
ServerAlias www.SOS.info
ServerAdmin admin@SOS.info
# Redirect Requests to SSL
Redirect permanent "/" "https://SOS.info/"
ErrorLog ${APACHE_LOG_DIR}/http.SOS.info.error.log
CustomLog ${APACHE_LOG_DIR}/http.SOS.info.access.log combined
</VirtualHost>
Эти перенаправления все Запросы HTTP к HTTPS.
$ cat /etc/apache2/sites-available/https.SOS.info.conf
<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerName SOS.info
ServerAlias www.SOS.info
ServerAdmin admin@SOS.info
DocumentRoot /var/www/html
SSLEngine on
SSLCertificateFile /etc/ssl/certs/SOS.info.crt
SSLCertificateKeyFile /etc/ssl/private/SOS.info.key
SSLCertificateChainFile /etc/ssl/certs/SOS.info.root-bundle.crt
#etc..
</VirtualHost>
</IfModule>
Это - СПИДОБАРОГРАФ HTTPS.
Содержание этих двух файлов может быть отправлено в одном файле, но в этом случае их управлении (a2ensite/a2dissite) будет более трудным.
Третий Виртуальный Хост - это, которое создается в наших целях:
$ cat /etc/apache2/sites-available/http.test-site.conf
<VirtualHost *:80>
ServerName test-site
ServerAlias test-site.SOS.info
DocumentRoot /var/www/test-site
DirectoryIndex index.html
ErrorLog ${APACHE_LOG_DIR}/test-site.error.log
CustomLog ${APACHE_LOG_DIR}/test-site.access.log combined
<Directory /var/www/test-site>
# Allow .htaccess
AllowOverride All
Allow from All
</Directory>
</VirtualHost>
3. С этой конфигурацией необходимо получить доступ:
http://localhost # pointed to the directory of the mine Domain
https://localhost # iin our case: /var/www/html (SOS.info), but you should get an error, because the SSL certificate
http://SOS.info # which redirects to https://SOS.info
https://SOS.info # you should have valid SSL certificate
http://www.SOS.info # which is allied to http://SOS.info and redirects to https://SOS.info
https://www.SOS.info # which is allied to https://SOS.info
На основном примере необходимо получить доступ и:
http://test-site # pointed to the directory /var/www/test-site
http://test-site.SOS.info # which is allied to http://test-site
Попытайтесь открыть сайт в веб-браузере или просто попробовать (в терминале) со следующими командами:
$ curl -L http://test-site/index.html
$ curl -L http://test-site.SOS.info/index.html
Конечно, у Вас должны быть некоторые index.html страницы в их DocumentRoot :)
Я оставлю следующие примечания из-за педантизма :)
4. Вам нужен правильно настроенный '/etc/apache2/apache2.conf'.
Ii является хорошей идеей провести некоторое время для улучшения безопасности сервера. Эти руководства о конфигурации безопасности: 1-й и 2-й. Здесь можно получить бесплатный сертификат SSL. Эти сайты помогут Вам проверить свой успех: 1-й и 2-й.
Согласно вышеупомянутым руководствам безопасности /etc/apache2/apache2.conf файл должен быть похожим:
Mutex file:${APACHE_LOCK_DIR} default
PidFile ${APACHE_PID_FILE}
Timeout 60
#KeepAlive Off
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 5
HostnameLookups Off
ErrorLog ${APACHE_LOG_DIR}/error.log
LogLevel warn
IncludeOptional mods-enabled/*.load
IncludeOptional mods-enabled/*.conf
Include ports.conf
<Directory />
Options None FollowSymLinks
AllowOverride None
Require all denied
</Directory>
<Directory /var/www/>
Options None FollowSymLinks
AllowOverride None
Require all granted
</Directory>
AccessFileName .htaccess
<FilesMatch "^\.ht">
Require all denied
</FilesMatch>
LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %O" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
IncludeOptional conf-enabled/*.conf
IncludeOptional sites-enabled/*.conf
# Hide Server type in the http error-pages
ServerSignature Off
ServerTokens Prod
# Etag allows remote attackers to obtain sensitive information
FileETag None
# Disable Trace HTTP Request
TraceEnable off
# Set cookie with HttpOnly and Secure flag.
# a2enmod headers
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
# Clickjacking Attack
Header always append X-Frame-Options SAMEORIGIN
# CX-XSS Protection
Header set X-XSS-Protection "1; mode=block"
# Disable HTTP 1.0 Protocol
RewriteEngine On
RewriteCond %{THE_REQUEST} !HTTP/1.1$
RewriteRule .* - [F]
# Change the server banner @ ModSecurity
# Send full server signature so ModSecurity can alter it
ServerTokens Full
# Alter the web server signature sent by Apache
<IfModule security2_module>
SecServerSignature "Apache 1.3.26"
</IfModule>
Header set Server "Apache 1.3.26"
Header unset X-Powered-By
# Hde TCP Timestamp
# gksu gedit /etc/sysctl.conf
# >> net.ipv4.tcp_timestamps = 0
# Test: sudo hping3 SOS.info -p 443 -S --tcp-timestamp -c 1
# Disable -SSLv2 -SSLv3 and weak Ciphers
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
5. Настройте Брандмауэр.
Для позволения/отклонения внешнего доступа к веб-серверу, можно использовать UFW (Несложный Брандмауэр):
sudo ufw allow http
sudo ufw allow https
Позволить только tcp использование протокола:
sudo ufw allow http/tcp
sudo ufw allow https/tcp
Можно использовать и номер порта непосредственно:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
На всякий случай можно перезагрузить "таблицу правил":
sudo ufw reload
Можно использовать и графический интерфейс UFW, названный gufw.
sudo apt update
sudo apt install gufw
gufw &
Выбор Office профиль. Это установит: Status:ON, Incoming:Deny и Outgoing:Allow и добавьте свои правила.
6. Если у Вас есть маршрутизатор, не забывают передавать некоторые порты:
Если у Вас есть маршрутизатор, и Вы хотите, чтобы Ваш веб-сервер был доступен из Интернета, не забывайте добавлять некоторое перенаправление портов. Что-то вроде этого.
Измените владение каталога, где Вы служите своим файлам от использования команды:
sudo chown -R www-data:www:data <directory_where_you_serve_files_from>
Я, как предполагается, связываю Вас с этот ответ , где решено моя проблема.
, В первую очередь, добавьте полномочия к папке:
sudo chmod -R 775 /var/www
Затем добавляют этот текст:
<Directory /var/www/html>
AllowOverride All
</Directory>
В конец этого файла:
/etc/apache2/sites-available/000-default.conf