[DE] Zugriff auf Server absichern

[ayla]

Hallo,

...Die folgenden zusätzlichen Pakete werden installiert:
  apache2-mpm-prefork
Die folgenden Pakete werden ENTFERNT:
  apache2-mpm-worker
Die folgenden NEUEN Pakete werden installiert:
  apache2-mpm-prefork libapache2-mod-php5...

Nach erfolgreichem Durchlauf:

Code: [Select]

root@nescaya:/home/cal #root: a2enmod php5
Module php5 already enabled

Nach wie vor zeigt mir der weasel aber nur den Text.

Irgendwas läuft hier anders als bei meiner Pi Installation...

Hab mir mal gerade eine info.php angelegt die phpinfo() aufruft -Thread im owncloud-Forum- und diese nach /var/www kopiert. Die phpinfo wird im weasel angezeigt, also funktioniert dieser Teil anscheinend. Werd mal diese Ausgabe und die des Pi vergleichen.

Plan B ist, die Version die auf dem Pi läuft hier zu installieren und auszuprobieren, wenn ich sie für amd64 finde, stable oder testing haben anscheinend keine owncloud drinne, wenigstens zeigt "policy" mir keine an.

Gruß
ayla




EDIT:
hm. Gleiche php-Version, gleiche Einstellungen -außer aktiviertem ssl beim Pi und verlegten Ports, das war hier noch nicht an der Reihe.

Unterschiede, hier:
Mysql-Abschnitt vorhanden

extension_dir   /usr/lib/php5/20100525
PCRE Library Version 8.31
SQlite library 3.7.15.2

beim Pi:

extension_dir   /usr/lib/php5/20100525+lfs
PCRE Library Version 8.30
SQlite library 3.7.13

Da muß dann wohl Plan B dran.

Bug-Report mit dem Problem bei debian gesehen, war zwar von Version 4.0.4debian2-3.2, ist aber noch offen.

[hefee]

heute wurde owncloud getriggert, dass es wieder aus testing fliegt. Es fand sich kein maintainer finden wollte, der OC4 noch drei bis vier Jahre backporten will.

Hast du die Benutzerechte angeschaut? was sagt /var/log/apache2/error.log ?

btw. ich habe owncloud auf einem debian stable ohne Probleme am laufen. Es MUSS gehen

[ayla]

Hatte in meinem EDIT oben gerade noch'n Debian Bug Report angehängt.

[Sun Mar 17 17:15:54 2013] [notice] Apache/2.2.22 (Debian) configured -- resuming normal operations
[Sun Mar 17 17:24:36 2013] [error] [client 127.0.0.1] File does not exist: /var/www/favicon.ico
[Sun Mar 17 17:24:36 2013] [error] [client 127.0.0.1] File does not exist: /var/www/favicon.ico
[Sun Mar 17 17:39:06 2013] [error] [client 127.0.0.1] File does not exist: /var/www/favicon.ico
[Sun Mar 17 23:01:00 2013] [notice] caught SIGTERM, shutting down
[Mon Mar 18 07:22:21 2013] [notice] Apache/2.2.22 (Debian) configured -- resuming normal operations
[Mon Mar 18 07:27:27 2013] [notice] SIGUSR1 received.  Doing graceful restart
apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
[Mon Mar 18 07:27:27 2013] [notice] Apache/2.2.22 (Debian) configured -- resuming normal operations
[Mon Mar 18 07:42:58 2013] [notice] caught SIGTERM, shutting down
[Mon Mar 18 07:43:03 2013] [notice] Apache/2.2.22 (Debian) configured -- resuming normal operations
[Mon Mar 18 07:43:05 2013] [notice] caught SIGTERM, shutting down
[Mon Mar 18 07:43:06 2013] [notice] Apache/2.2.22 (Debian) PHP/5.4.4-14 configured -- resuming normal operations
[Mon Mar 18 07:45:13 2013] [notice] caught SIGTERM, shutting down
[Mon Mar 18 07:45:14 2013] [notice] Apache/2.2.22 (Debian) PHP/5.4.4-14 configured -- resuming normal operations
[Mon Mar 18 07:49:34 2013] [notice] caught SIGTERM, shutting down
[Mon Mar 18 07:50:28 2013] [notice] Apache/2.2.22 (Debian) PHP/5.4.4-14 configured -- resuming normal operations

Neuere Einträge gibt's nicht obwohl ich gerade dreimal die Openbox versucht habe zu starten.

Und ja, auf meinem Pi läufts ja auch . Benutzerrechte... hmm, mal schauen, da war auch was beim Pi, aber erst heut abend, muß weg.

Danke und Gruß
ayla

[rolandx1]

ich probier ja auch schon laenger mit mit owncloud rum und wenn ich eins sicher sagen kann: entpacken, kopieren laeuft immer besser als aus $paketverwaltung. ansonsten muss ich unter lighttpd immer das cgi/fastcgi-modul laden, php allein reicht ggf. nicht

[cryptosteve]

owncloud hat mit cgi aber eigentlich nichts am Hut. Erkennt man schon daran, dass nichts von owncloud in /usr/lib/cgi-bin liegt.

[michaaa62]

Überprüfe mal ob diese Pakete installiert sind:
apache2 apache2-utils apache2-mpm-prefork php5 php5-common mysql mysql-server mysql-common libapache2-mod-php5 php5-mysql phpmyadmin sqlite php5-sqlite
Die Liste ist aus meiner Installationshistory unmittelbar vor Installation von owncloud.

Die letzten Befehle für apache waren 'a2ensite default' und 'a2enmod rewrite'.

[cryptosteve]

phpmyadmin

Ich weiss, allmählich verkomme ich hier zum Miesmacher, aber auch mit phpmyadmin sollte man mehr als vorsichtig sein. Das Ding brauchts nicht nur nicht zum Betrieb von Owncloud (oder anderen php-basierten Anwendungen), sondern es klafft auch in ernstzunehmender Regelmäßigkeit voller wunderschöner Sicherheitslücken, die einem fix mal einen Spammer oder (wie mir schon selbst passiert) ein paar schicke Counterstrike-Server auf den Host spülen.

Ich kann daher nur empfehlen, phpmyadmin über die eingebaute Authentifizierung hinaus abzusichern.

[ayla]

Hallo,

@michaaa62
Alles installiert außer phpmyadmin. Der wollte nach der Installation dann die Konfiguration des apache übernehmen, aber nach cryptosteves Warnung hab ich das lieber bleiben lassen und ihn wieder deinstalliert.
Ich müsste mich mangels Ahnung auf die default Konfiguration verlassen können und "Sicherheitslücken mit ernstzunehmender Regelmäßigkeit" klingt nicht so vertrauenerweckend .

@all
Ich schmeiß die 4.0.8... jetzt runter und hol mir die 4.5 oder 5, von owncloud direkt und schau mal wie's damit klappt.

Gruß
ayla

[michaaa62]

@cryptosteve: Danke für die Erneuerung der Warnung!

[ayla]

Action 'configtest' failed.
The Apache error log may have more information.
Your Apache 2 configuration is broken, so we're not restarting it for you.

grmbl. Ich geb auf.
 :evil:



Wenigstens für heute.  

Gruß
ayla

[ayla]

Ich werd bekloppt. Reine Verzweiflungstat:

Code: [Select]

apt-get purge apache2 apache2-mpm-prefork apache2-utils apache2.2-common
apt-get install owncloud owncloud-sqlite
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.      
Statusinformationen werden eingelesen.... Fertig
owncloud-sqlite ist schon die neueste Version.
Die folgenden zusätzlichen Pakete werden installiert:
  apache2 apache2-mpm-worker apache2-utils apache2.2-common
Vorgeschlagene Pakete:
  apache2-doc apache2-suexec apache2-suexec-custom
Empfohlene Pakete:
  exim4 mail-transport-agent
Die folgenden NEUEN Pakete werden installiert:
  apache2 apache2-mpm-worker apache2-utils apache2.2-common owncloud
0 aktualisiert, 5 neu installiert, 0 zu entfernen und 10 nicht aktualisiert.
Es müssen noch 0 B von 2.669 kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 12,0 MB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren [J/n]?
Danach -der Text im iceweasel.
Cache des weasel geflusht.

Code: [Select]

apt-get install libapache2-mod-php5
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.      
Statusinformationen werden eingelesen.... Fertig
Die folgenden zusätzlichen Pakete werden installiert:
  apache2-mpm-prefork
Die folgenden Pakete werden ENTFERNT:
  apache2-mpm-worker
Die folgenden NEUEN Pakete werden installiert:
  apache2-mpm-prefork libapache2-mod-php5
0 aktualisiert, 2 neu installiert, 1 zu entfernen und 10 nicht aktualisiert.
Es müssen noch 0 B von 2.667 kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 8.837 kB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren [J/n]?
....


libapache2-mod-php5 (5.4.4-14) wird eingerichtet ...                                                                                      
Creating config file /etc/php5/apache2/php.ini with new version                                                                    
[....] Restarting web server: apache2apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName                                                   ... waiting apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName        
. ok      
Iceweasel ruft localhost/owncloud auf...

und die Seite zum Anlegen des admin-Kontos erscheint. Das Einzige was ich anders gemacht habe gegenüber heute morgen, nachdem heefe mich auf das php-Modul hingewiesen hatte, war den Cache zu flushen.
Das glaub ich einfach nicht.

Gruß
ayla

[ayla]

Hi,

nach stundenlangem rumprobieren, Benutzerrechte, kopieren der owncloud-Dateien hin und her und immer des gleiche Ergebnis:

Zwar erschien inzwischen die Seite "Admin-Konto erstellen" bei der Version 4.0.8... aus den Sid-Repos, aber das wars auch schon.
Ein Konto erstellen ging nicht. Heißt: Nach dem Klick auf "erstellen" machte sofort wieder die Seite  "Admin-Konto erstellen" auf mit wieder leeren Eingabefeldern. Egal ob Sqlite oder mysql ausgewählt war oder was auch immer. Es ging nix. :evil:

Versuch die 5.0 zu installieren scheiterte erst mal daran daß sich die admin-Dokumentation derselben für Debian/Ubuntu auf den Hinweis beschränkt diese vom openSuSe Buildserver zu installieren, wo aber auch keine Info zur Einrichtung zu finden war. ootb?? nee, iss nich.

Der Verzweiflung letzter Schritt:
1. Die 4.0.8 aus Sid installieren,
2. Ordner "owncloud" lokalisieren, in /usr/share finden und löschen!!
3. das "owncloud_5.0.0-0_all.deb" vom Suse-Server holen und entpacken
4. Auch das darin enthaltene "data.tar.gz" entpacken
5. Dort im erscheinenden Ordner var/www den Ordner "owncloud" nach /usr/share kopieren/verschieben
6.

Code: [Select]

chown -R www-data /usr/share/owncloud
chgrp -R www-data /usr/share/owncloud
7. Hoffen daß die so noch vorhandene Konfiguration des vorher installierten 4.0.8 auch noch auf das 5.0 passt.
8. Wundern daß ich jetzt auf der Oberfläche des 5.0 ganz simpel meinen admin anlegen kann und das Teil tatsächlich auch funktioniert

Das werd ich aber wohl so nicht in ein wiki packen...

Gruß
ayla

[cryptosteve]

Da fällt mir gerade mal ein .. hast Du ein Plugin im Browser, das Deinen Referer blockt bzw. ändert? Ich hatte genau so ein Verhalten mal, als ich RefControl als Firefox-Addon aktiviert hatte (ist hier standardmäßig aktiviert).

Owncloud liess einfach keine Registrierung des Adminkontos zu (kommentarlos). Nach Deaktivieren des AddOns für diese Seite ging es dann problemlos.

[ayla]

hmm, ich hab' nur das Flashplugin und adblock-plus drinne.
k.A. ob adblock sowas macht.

Aber jetzt wo ich weiß wie ichs im Notfall wieder hinkriege kann ich ja mal noch ein wenig probieren. Zumal das eh nur 'ne Testinstallation ist. Immerhin hat sie einiges an mehr Wissen gebracht

[cryptosteve]

Nein, Adblock lässt den Referer eigentlich unangetastet ... fiel mir auch nur ganz spontan ein, weil ich damals selbst stundenlang geknobelt habe.

Viel Erfolg.