Настройка apache2 astra linux

Содержание

Настройка Apache+Kerberos+WSGI+ALD Ошибки аутентификации и чтения скрипта
Операционные системы Astra Linux
Операционные системы Astra Linux
Установка и настройка Apache2 на Astra Linux
Подготовка системы
Установка и настройка Apache2
Настройка PAM авторизации в защищенном Apache
Похожие статьи
39 Comments

Настройка Apache+Kerberos+WSGI+ALD Ошибки аутентификации и чтения скрипта

На Astra Linux 1.6 пытаюсь настроить вывод мандатных меток в браузер. При выключенном Astra Mode выдает дефолтную страницу Apache «it`s works!», при включенном index.html. Тоесть WSGI ни в какую работать не хочет, пробовала с разными скриптами.

В чем косяк? Пользователь введен в ALD, захожу на клиентскую машину с него. В браузере параметры negotiate прописаны.

Судя по сообщению «user name is not set», апач не может аутентифицировать пользователя. Т.е. проблема с аутентификацией.

А чего за огрызки вместо логов? Уверен, кроме «Additional pre-authentication required», там еще что-то должно быть.

И почему index.html показывает? Что, обработчик 500 ошибки настроен на index.html?

Еще логи в файле kdc.log

В файле kadmin_server.log

Обрабтчик 500 ошибки не настраивала. Машинка новая, там только как раз ald настроен и вот попытка теперь поднять apache с аунтефикацией и запуском скрипта. Куда копать, если проблема с аунтефикацией? понятно, что керберос, но вроде все по мануалам сделано (доки+наверное все что в сети есть), не очень понятно, что еще надо проверить

Получилось! Для этого потребовалось:

Отвязать дефолтный конфиг апача в /etc/apache2/sites-enabled

Привязать свой через a2ensite, если не был привязан.

В конфинге керберос явно указать файл keytab

Убрать все комментарии в скрипте wsgi.

Хорошо, что получилось, но расположение файла keytab лучше указывать в конфиге апача опцией Krb5KeyTab.

А то у тебя получилось, что апачевский keytab стал системным. Ломают апач — получают доступ к системному кейтабу.

Так ведь в Krb5KeyTab указывается апачевский keytab. Мне казалось Kerberos оттуда его берет и сам (или ald) генерирует в конфиг свой. Или он как-то из апачевского свой, другой keytab делает?

К слову, сейчас в krb5.conf нет моей строки, видимо ald пересоздало файл. Но все работает. Значит магия))

Так ведь в Krb5KeyTab указывается апачевский keytab.

Именно так. У тебя же апач аутентифицирует пользоваталей, значит, тебе нужен апачевский кейтаб. Если на этой машине Kerberos использует только апач, то пофиг, можешь делать как хочешь. А вот если в кейтабе лежат ключи хоста, которые используются, например, для аутентификации AD-шных пользователей по SSH — то не дело давать к ним доступ апачу.

Мне казалось Kerberos оттуда его берет и сам (или ald) генерирует в конфиг свой. Или он как-то из апачевского свой, другой keytab делает?

Долго думал, что ты имеешь ввиду, но не понял.
Kerberos — это просто набор библиотек (krb5-libs). До тех пор, пока кто-то их не загрузит и не станет использовать (apache, sshd, sssd), Kerberos сам по себе ничего делать не будет.

К слову, сейчас в krb5.conf нет моей строки, видимо ald пересоздало файл. Но все работает. Значит магия))

Лишнее подтверждение того, что там ей не место. И после перезапуска апача тоже все работает?

Так, теперь опять не работает. Причем добавление этой строчки не помогает. Логи апача:

У кербероса такие же, как в первом сообщении. Как думаете, в чем проблема?

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

реализации и совершенствования функциональных возможностей;
поддержки современного оборудования;
обеспечения соответствия актуальным требованиям безопасности информации;
повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Очередные обновления (версии) предназначены для:

реализации и совершенствования функциональных возможностей;
поддержки современного оборудования;
обеспечения соответствия актуальным требованиям безопасности информации;
повышения удобства использования, управления компонентами и другие.

инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Источник

Установка и настройка Apache2 на Astra Linux

В данной статье приведён пример установки и настройки Apache HTTP Server (Apache2) на OC Astra Linux SE. Если в ОС уже настроен виртуальный дисплей xvfb, то подготовка системы не требуется и можно перейти сразу к установке Apache2.

Подготовка системы

Выполните следующие действия:

Разрешите доступ к DISPLAY 0.0. Для этого откройте файл X0.hosts, выполнив в терминале команду:

sudo nano /etc/X0.hosts

В открывшемся файле добавьте строку:

Примечание . Если у вас физический дисплей настроен на другой номер, то после X необходимо указать соответствующую цифру.

Откройте конфигурационный файл xserverrc:

sudo nano /etc/X11/xinit/xserverrc

exec /usr/bin/X -nolisten tcp «$@»

Откройте конфигурационный файл fly-dmrc:

sudo nano /etc/X11/fly-dm/fly-dmrc

sudo service fly-dm restart

После перезагрузки X-сервера запустите его заново командой startx и авторизуйтесь. Для корректной работы сервисов должен быть произведён вход пользователем в графическое окружение системы из физической консоли.

Установка и настройка Apache2

В стандартной поставке Astra Linux SE Apache2 доступен только в конфигурации prefork. В связи с этим для Astra Linux используется Apache2 собственной сборки, собранный с модулем coworker. Apache HTTP Server поставляется с архивом платформы и распаковывается в каталог /opt/ Foresight /fp9.3 -biserver/bin/apache/2.2.

Примечание . При смене каталога расположения Apache HTTP Server надо изменить в файле conf/httpd.conf значения параметров ServerRoot, DocumentRoot, Directory и ScriptAlias, где указан путь до /opt/ Foresight /fp9.3-biserver/bin/apache/2.2, на соответствующий новому расположению веб-сервера.

Читайте также: Ds4 driver windows 10

Перенесите init-файл apache2-fp9.3 в каталог /etc/init.d/ командами в терминале:

sudo cp /opt/ Foresight /fp9.3 -biserver/bin/apache/2.2/apache2-fp9.3 /etc/init.d/

sudo chmod +x /etc/init.d/apache2-fp9.3

init-файл запуска Apache2 можно создать вручную, вставив листинг скрипта ниже в файл /etc/init.d/apache2-fp9.3. Откройте файл для редактирования:

sudo juffed /etc/init.d/apache2-fp9.3

Вставьте текст скрипта и сохраните файл apache2-fp9.3:

### BEGIN INIT INFO

# Required-Start: $local_fs $remote_fs $network $syslog $named

# Required-Stop: $local_fs $remote_fs $network $syslog $named

# Default-Start: 2 3 4 5

# Default-Stop: 0 1 6

# Short-Description: Start/stop apache2 web server

Источник

Настройка PAM авторизации в защищенном Apache

Как уже упоминалось в одной из наших предыдущих заметок, в состав Astra Linux Special Edition входит защищенный комплекс программ гипертекстовой обработки данных, в качестве веб-сервера туда включен Apache2, который доработан с целью улучшения безопасности. В данной заметке мы коротко опишем как настроить данный веб-сервер с использованием PAM авторизации.

Ставим пакеты
Проверяем, что в файле /etc/apache2/ports.conf содержатся следующие строки (если конечно Вы собираетесь использовать стандартный 80, а не какой-нибудь другой порт):
Создаем конфигурацию виртуального хоста (в примере сайтик из одной стандартной страницы It works!):
Включаем PAM авторизацию и наш виртуальный хост:
Для корректного функционирования авторизации через PAM пользователю, от которого работает веб-сервер (по-умолчанию — www-data), необходимо выдать права на чтение информации из БД пользователей и сведений о мандатных метках, для этого выполняем следующие команды:
Затем для пользователя под которым будем заходить, выполняем команду настройки (по-сути просто сбрасываем в 0) минимальный и максимальный наборы мандатных категорий (мы их и не настраивали):
Открываем браузер обращаемся по именисервера, который указали в конфигурационном файле виртуального хоста, и должны увидеть сперва окно с предложением ввести логи\пароль и после успешного ввода данных Вам откроется страница c текстом «It works!», как на картинке ниже:

На очереди рассказ про настройку kerberos авторизации. Stay tuned!

Смотрите также нашу статью «Веб-приложения в защищённой среде» и вопросы посетителей, касающиеся Apache.

39 Comments

Интересная заметка. Проверил, действительно работает. Значит ли это, что в качестве аутентификации можно использовать пользователей домена. И, есть ли возможность использовать эту аутентификацию на PHP?

Пользователей ALD не получится использовать, по крайней мере без танцев с бубном, если нужно ходить ald’шными, то тут самое оно это керберосная авторизация… постараюсь написать в ближайшее время.
Про php:
1. Повторяем пункты из статьи
2. aptitue install libapache2-mod-php5
3. nano /var/www/test.php
4. вводим, например:
# test. php

5. вводим в браузере имясервера/test.php
6. профит

А если имелся ввиду php-auth-pam…то это скучная история.

Здравствуйте.
Какие репозитории используются? libapache2-mod-php5 нет на диске с astra linux se 1.4

Проверил, в наличии (пакетlibapache2-mod-php5₅.4.4−2astra2_amd64.deb)

А можно ли выключить авторизацию вообще или проводить авторизацию по ip адресам, а не используя парольную защиту.

Источник

Настройка apache2 astra linux

Настройка Apache+Kerberos+WSGI+ALD Ошибки аутентификации и чтения скрипта

Операционные системы Astra Linux

Операционные системы Astra Linux

Установка и настройка Apache2 на Astra Linux

Подготовка системы

Установка и настройка Apache2

Настройка PAM авторизации в защищенном Apache

Похожие статьи

Сборка Mono для Debian и Astra Linux

ГосJava 2020.3

Запуск нескольких экземпляров Tomcat

39 Comments