Topic: Apache SSL Port ändern [gelöst]

[Free4All]

Hat einer von euch ne Ahnung wo ich den Port für die SSL übertragung des Apache umstellen kann?

Ich hab folgendes versucht:

Code: [Select]


cd /etc/e-smith/templates/etc/httpd/conf/http.conf/
cp 35SSL00Listen443 /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/
/sbin/e-smith/expand-template /etc/httpd/conf/httpd.conf


In der Datei 35SSL00Listen443  habe ich alle 443en in 4443 umgewandelt, aber nach einem neustart kam ich über https//smeserver:4443/server-manager nicht mehr an den Server Manager. Irgendwas muss ich vergessen haben. Ich such jetzt schon ne Weile und finds nicht. Sieht jemand den Fehler?

Andere Frage:
http://forums.contribs.org/index.php?topic=35822.0

[cactus]

Hat einer von euch ne Ahnung wo ich den Port für die SSL übertragung des Apache umstellen kann?

Ich hab folgendes versucht:

Code: [Select]


cd /etc/e-smith/templates/etc/httpd/conf/http.conf/
cp 35SSL00Listen443 /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/
/sbin/e-smith/expand-template /etc/httpd/conf/httpd.conf


In der Datei 35SSL00Listen443  habe ich alle 443en in 4443 umgewandelt, aber nach einem neustart kam ich über https//smeserver:4443/server-manager nicht mehr an den Server Manager. Irgendwas muss ich vergessen haben. Ich such jetzt schon ne Weile und finds nicht. Sieht jemand den Fehler?

Andere Frage:
http://forums.contribs.org/index.php?topic=35822.0

Zuerst die httpd log files anschauen und sehen ubwohl es irgendwie errors gibt.
Vielleicht brauchst du diese auch änderen: /etc/e-smith/templates/etc/httpd/conf/httpd.conf/VirtualHosts/27ManagerProxyPass

Dem nachst denk ik das du auch deine ModSSL port änderen muss im configuration database....

[Free4All]

Hat einer von euch ne Ahnung wo ich den Port für die SSL übertragung des Apache umstellen kann?

Ich hab folgendes versucht:

Code: [Select]


cd /etc/e-smith/templates/etc/httpd/conf/http.conf/
cp 35SSL00Listen443 /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/
/sbin/e-smith/expand-template /etc/httpd/conf/httpd.conf


In der Datei 35SSL00Listen443  habe ich alle 443en in 4443 umgewandelt, aber nach einem neustart kam ich über https//smeserver:4443/server-manager nicht mehr an den Server Manager. Irgendwas muss ich vergessen haben. Ich such jetzt schon ne Weile und finds nicht. Sieht jemand den Fehler?

Andere Frage:
http://forums.contribs.org/index.php?topic=35822.0

Zuerst die httpd log files anschauen und sehen ubwohl es irgendwie errors gibt.
Vielleicht brauchst du diese auch änderen: /etc/e-smith/templates/etc/httpd/conf/httpd.conf/VirtualHosts/27ManagerProxyPass

Ok hab ich rüberkopiert und in Zeile 20 aus 443 4443 gemacht.

Dem nachst denk ik das du auch deine ModSSL port änderen muss im configuration database....

Wo find ich denn die Datei?
Hab in der Datei /etc/e-smith/templates/etc/httpd/conf/httpd.conf/20LoadModule80mod_ssl nachgesehen, aber da stand nix von 443.

[cactus]

Wo find ich denn die Datei?
Hab in der Datei /etc/e-smith/templates/etc/httpd/conf/httpd.conf/20LoadModule80mod_ssl nachgesehen, aber da stand nix von 443.

Auf ein terminal shell kann man dieses eintragen:

Code: [Select]

db configuration show modSSL Für mehr info, nur

Code: [Select]

db eintragen.

[Free4All]

Interessant. Leider hast es das auch nicht gebracht.
Den Wert habe ich mit

Code: [Select]

db configuration setprop modSSL TCPPort 4443
geändert.
Hast du noch einen guten Link wo das mit "db" und "db configuration" alles erklärt wird?
Hat sonst noch jemand ne Idee woran es liegen könnte, dass das mit einem anderen Port als 443 nicht funzt?

[cactus]

Interessant. Leider hast es das auch nicht gebracht.
Den Wert habe ich mit

Code: [Select]

db configuration setprop modSSL TCPPort 4443
geändert.
Hast du noch einen guten Link wo das mit "db" und "db configuration" alles erklärt wird?
Hat sonst noch jemand ne Idee woran es liegen könnte, dass das mit einem anderen Port als 443 nicht funzt?

Vielleicht sollst du noch mahl configuration templates expandieren und services neu starten. Vielleicht das

Code: [Select]

signal-event post-upgrade; signal-event reboot etwas bringt?

Mehr Information ubder das db Kommando find mann im Developer Guide, leider nur im Englisch: http://mirror.contribs.org/smeserver/contribs/gordonr/devguide/html/devguide.html

[Free4All]

Kurzum: Es funzt immernoch nicht.
Ich hab jetzt noch folgende Dateien in den "template-custom" Ordner gezogen:

Code: [Select]


25SSLDirectives
template-begin


Überall wo 443 stand hab ich 4443 draus gemacht. Ich hab mir dann noch mal die /etc/httpd/conf/http.conf angesehen und bei dem Eintrag

Code: [Select]

NameVirtualHost 0.0.0.0:443

steht immernoch 443 steht.
Ehrlich gesagt hab ich jetzt etwas die Schnauze voll wenn ich das so sagen darf.
Ich reagier mich mal bei einem geplegten Killerspiel ab   und werd dann heute abend mal nach der Datei suchen die diesen Eintrag noch ändert.
Und wenn ich diese Datei dann finden sollte und es dann klappen sollte werd ich alle Dateien (und das sind nicht wenige) hier reinstellen die man ändern muss um diesen verdammten Port zu ändern.
Ihr merkt schon ich brauch ein Killerspiel sonst bauch ich noch unsinn.        

[Elluminatus]

Hi Free4All,

konntest Du das Problem lösen? Bin gerade bei dem gleichen Versuch.

Habe die Dateien ebenfalls in custom-template kopiert
(VirtualHost/25SSLDirectives und 35SSL00Listen443) habe dort alle
Einträge umgeändert. Habe dann

db configuration setprop modSSL TCPPort 4443

ausgeführt und danach

signal-event remoteaccess-update.
Bei mir sind alle 443 korrekt gegen 4443 ausgetauscht. Trotzdem kann ich
weder mit https://smeserver/server-manager noch mit https://smeserver:4443/server-manager die Seite öffnen.

"db configuration show modSSL" ergibt die korrekte Ausgabe 4443

Gruß Elluminatus

[Free4All]

Also das Problem konnte ich noch nicht lösen. Das lag aber daran, dass ich mich gestern nicht mehr am Server-Manager anmelden konnte. Da gibts ja hier auch im Forum einen Thread.
Die freie Zeit, die ich für den SME Server gestern eingeplant hatte ist dann damit draufgegangen.
Heute will ich aber wieder versuchen, ob ich das nicht doch hinbekomme. Wenns Ergebnisse gibt (positive oder negative) meld ich mich.

[Free4All]

Ich glaub ich habs. In folgenden Dateien habe ich die 443 geändert.

Code: [Select]


In /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf
35SSL00Listen443
80NameVirtualHosts
80VirtualHost

In /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/VirtualHosts
25SSLDirectives
27ManagerProxyPass


Sind dann doch einige Dateien geworden  

@Elluminatus
Schau mal obs bei dir auch hinhaut. Wenn ja haben wir ja alles beisammen.

[capri]

Habt ihr es schon mal mit der Funktion im Server Manager 'Port-Weiterleitung' probiert?

Meine habe das Selbst noch nicht versucht, aber wäre doch die logischte Lösung einfach den Port an einen anderen weiterzuleiten?

Nennt sich Portmapping und ist eigentlich für solche Zwecke gedacht.

[Free4All]

Habt ihr es schon mal mit der Funktion im Server Manager 'Port-Weiterleitung' probiert?

Meine habe das Selbst noch nicht versucht, aber wäre doch die logischte Lösung einfach den Port an einen anderen weiterzuleiten?

Nennt sich Portmapping und ist eigentlich für solche Zwecke gedacht.

Unter Portweiterleitung versteh ich eher, dass wenn man den SME Server als Gateway benutzt bestimmte Anfragen auf bestimmte Ports zu einem speziellen Rechner weiterleitet.
Was ich mich auch frage ist, ob die Portweiterleitung bei mir überhaupt standardmäßig funzt, da mein Server im "serveronly"-Modus läuft und da ist doch die Firewall (iptables) abgeschaltet.

[capri]

Ja war das denn nicht gemeint, soviel ich noch weiß arbeitet OpenVPN doch auf den SME7 nach dem Prinzip, wenigstens muß man, so stand es glaube ich in der Anleitung den Port für den Verkehr in Portweiterleitung freigeben.

Ansonsten verstehe ich dein Ansinnen nicht ganz, du willst das mit einer Netzwerkkarte machen (Server Only Betrieb) ?

Das ist wie die Haustüre zusperren bei einem Rohbau der noch keine Fenster hat, in jeder vernüftigen Aussage zu Sicherheitskonzepten steht, das Verkehr zwischen verschiedenen Netzwerken oder Netzwerksegmenten nur mit zwei oder mehreren Netzwerkkarten gut abgesichert werden kann.

Iptables machen ja auch erst richtig Sinn mit zwei und mehr Netzwerkkarten.

[Elluminatus]

Hi Free4All,

werde es heute abend mal ausprobieren, kann mich aber erst morgen früh mit nem Status melden.

Bin echt gespannt. Wie bist Du denn auf die anderen Dateien gekommen?

Gruß E.

[Free4All]

Hi Free4All,

werde es heute abend mal ausprobieren, kann mich aber erst morgen früh mit nem Status melden.

Bin echt gespannt. Wie bist Du denn auf die anderen Dateien gekommen?

Gruß E.

Ich hab im Verzeichnis /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf mir alle Dateien angesehen die SSL, VirtualHosts oder Proxy im Namen hatten. Wenn die dann noch irgendwas mit 443 drin stehen hatten hab ich die einfach geändert (nachdem ich die vorher in den entsprechendenden /etc/e-smith/template-customs...-Ordner kopiert hatte).  
 
@capri
Ich glaub wir beide verstehen uns falsch. Bei mir sieht das im Netzwerk so aus. Ich habe einen eigenen uralt-Rechner, der als Router fungiert. Der SME Server steht deshalb als ganz normaler Server ohne jegliche Gateway-Funktion im Netz und regelt das alles mit den mails. Wenn ich nun von außen auf den SME Server zugreifen will muß der auf einem anderen Port als auf 443 hören. Würde mein Router alles was auf Port 443 reinkommt auf den SME Server weiterleiten könnten die anderen nicht mehr im Netz surfen. Daher muß der Apache beim SME Server bei mir über einen anderen Port laufen.
Die Portweiterleitung auf den SME Server über bspw. den Port 4443 übernimmt dann schon der Uralt-Rechner.

[stefan24]

Würde mein Router alles was auf Port 443 reinkommt auf den SME Server weiterleiten könnten die anderen nicht mehr im Netz surfen. Daher muß der Apache beim SME Server bei mir über einen anderen Port laufen.

Das ist Unsinn, sorry!

Erstens können Router meistens auch Ports umbiegen, d.h. den externen Port 4443 auf intern 443 umleiten, außerdem muss Dein Router ja nicht auf 443 von außen reagieren, oder? Außerdem hat das Umbiegen von reinkommenden Anfragen auf Port x rein gar nichts mit ausgehenden Anfragen auf einen völlig anderen Server auf den gleichen Port x zu tun.

d.h. Du schaust, wie der Router Portweiterleitung handhabt und machst dann am SME Server bzgl. 443 -> 4443 am besten alles wieder rückgängig.

Ich hatte Dein jetziges Vorgehen allerdings selbst mal an einem SME 6.x Server so gemacht, weil mein damaliger Netgear Router nur Port x und Port x umleiten konnte und nicht Port x auf Port y und ich wollte nicht den Standardport 443 benutzen (Security by obscurity)

[Free4All]

Ich werds mit dem Umbiegen mal ausprobieren.

[capri]

Wie Stefan schon sagte das Portmapping und die sicherheitrelevanten Sachen sollte der Firewall Rechner/Secure Router übernehmen, sonst kommt man leicht im internen Netzwerk durcheinander, nach einen halben Jahr weiß man oft nicht mehr welchen Port man für Was und Wo umgeleitet hat und man hat mehr Ärger als Vorteile.

Habe meinen SME 7 Server längere Zeit als Server und Gateway an einen Secure Firewall Router der mittleren Klasse betrieben, das ging einwandfrei, auch wenn dann die 'doppelte Sicherheit' nicht wirklich mehr Sicherheit bringt, aber eben auch nicht Weniger

Braucht man die für das interne Netzwerk zwingend ein Portmapping, kann man das oft auch durch die Proxy Server Einstellungen bewerkstelligen, wobei man aber auch mit etwas Vorsicht herangehen sollte, sonst kann man auch Lücken aufreißen.

Zu Stefan Aussage ' Security by obscurity', bei Poertscans hilft das halt nur indirekt, aber man kann etliche Script Kiddys ganz schön verwirren wenn der FTP Server auf den Port 80 Läuft

Verwirrung erzeugen ist oft ein brauchbares Mittel und ersetzt wessentlich aufwendigere Methoden wenigstens ein Bisschen

[Elluminatus]

werde es heute abend mal ausprobieren, kann mich aber erst morgen früh mit nem Status melden.

So hab es auch ausporbiert, klappt tadellos. Sehr gut, beide Daumen hoch!!

[Free4All]

werde es heute abend mal ausprobieren, kann mich aber erst morgen früh mit nem Status melden.

So hab es auch ausporbiert, klappt tadellos. Sehr gut, beide Daumen hoch!!

Ja cool. Dann kann ich den Thread ja als gelöst markieren.  

[Elluminatus]

Hi,

es klappt wunderbar bei mir, einziges Problem was ich noch habe (Server SME 7.2) nachdem ich mich auf der Webadminoberfläche angemeldet habe mit https://meinserver.meinedomain.de:443/server-manager verweist er mich dann nach dem erfolgreichen Login auf https://meinserver.meinedomain.de/server-manager d.h. er läßt den Port weg.

Wo und wie kann ich das ändern? Weiß das jemand?

[stefan-becker]

Ich habe leider auch das Problem.

Der SME ist in der DMZ. In dem Router habe ich den externen Port 1024 auf den internen 443 umgestellt. Direkt 443 geht nicht, weil der Router auch SSL verwendet. Wenn ich mich nun einlogge kommt auch erstmal nur weiß, weil er ohne die Port Angaben weitermachen will.

[Elluminatus]

Hat da jemand einen Lösungsansatz?

Gruß E.