关于使用Active Directory身份validation设置单点login到Apache托pipe网站的所有教程,都可以通过configuration具有不安全设置的Kerberos来实现。 现在最好的做法是在Active Directory中禁用Kerberos的RC4-HMACencryption ,但是很多教程都要求重写krb5.conf的默认设置,并使所有的工作都适用于RC4-HMAC。 我想尝试使用AES256encryption设置单点login,并且设法使其工作,所以我正在logging这个问题并回答任何其他谁想要更好的安全性的网站。 从RC4-HMAC开始 我们先从RC4-HMAC开始,因为这很容易。 设置SSO的标准步骤从创build具有关联SPN的域帐户开始,浏览器将使用该帐户来获得encryption凭证以发送到服务器。 对于这个例子,我的用户是REALM \ HostServiceAccount: UPN:[email protected](因此Kerberos主体名称为[email protected]) servicePrincipalName属性(也可以由setspn设置):HTTP / host.example.com; HTTP /主机(Kerberos:HTTP/[email protected]) 单独保留encryption设置; 默认情况下,这使得RC4-HMAC成为最强的encryption方式,所以来自域的票据将具有这种encryptionfunction 我们将下列条目添加到我们的目标服务器上的/etc/krb5.conf中: [libdefaults] default_realm = REALM.COM [domain_realm] .realm.com = REALM.COM realm.com = REALM.COM 我们创buildkeytab并让服务器读取它: # ktutil ktutil: add_entry -password -p HTTP/[email protected] -k 1 -e rc4-hmac Password for HTTP/[email protected]: <enter password here> ktutil: write_kt /etc/apache2/service.keytab ktutil: q […]
我在Apache 2.2.15上。 我的vhost.conf包含一个RewriteRule来处理文章的URL; # handling for neat article titles RewriteRule ^/news/[0-9]{4}/[A-za-z]{3}/([0-9a-zA-Z-]*)/([0-9]{4})([0-9]{6})/?$ "/news/article.cfm?clk=$2&article_id=$3&urltitle=$1" [P,L] 这是在我们的活服务器上正常工作,但是在我的本地开发服务器上,当我尝试加载文章时,浏览器中出现502错误: Proxy Error The proxy server received an invalid response from an upstream server. The proxy server could not handle the request GET /news/2015/news-article/0123012345. Reason: DNS lookup failure for: localhost.example.com Apache/2.2.15 (CentOS) Server at localhost.example.com Port 80 这是我在错误日志中得到的; [Wed Oct 28 10:00:25 […]
(请不要closures它,它不是SSLCipherSuite的重复- 禁用弱encryption,基于cbc cipher和md5的algorithm ) 我使用Apache 2.2。 我已经开始从扫描仪得到以下消息: Configure SSL/TLS servers to only use TLS 1.1 or TLS 1.2 if supported. Configure SSL/TLS servers to only support cipher suites that do not use block ciphers. Apply patches if available. 不幸的是我不能使用TLS 1.1版本(我打算只在下一个主要版本中使用)。 我想阻止CBC密码,但我没有成功做到这一点。 我configuration了以下密码,但没有帮助: SSLCipherSuite HIGH:!ADH:!MD5:-EDH-RSA-DES-CBC3-SHA:-EDH-DSS-DES-CBC3-SHA:-DES-CBC3-SHA 如何在Apache中使用TLS 1.0时防止CBC密码? 添加 我已经按照OWASP的build议使用TestSSLServertesting了我的环境: https ://www.owasp.org/index.php/Testing_for_Weak_SSL/TLS_Ciphers,_Insufficient_Transport_Layer_Protection_%28OTG-CRYPST-001%29 我得到以下输出: Supported versions: TLSv1.0 Deflate […]
无法启动apache2服务器。 错误信息在下面。 考虑到类似的问题( SSL错误 – 无法从文件读取服务器证书 , Apache无法读取证书文件等),仍然陷于这个问题。 任何帮助是受欢迎的。 谢谢。 me@localhost:/etc/apache2$ sudo service apache2 start * Starting web server apache2 Action 'start' failed. The Apache error log may have more information. [fail] me@localhost:/etc/apache2$ sudo apachectl configtest Syntax OK error.log中: [Thu Dec 17 17:24:11 2015] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag [Thu Dec […]
我更新了我的Ubuntu的ruby盒子,从那时起,redmine就倒闭了。 我的apache2.conf如下 Include /etc/apache2/sites-enabled/ LoadModule passenger_module /usr/local/lib/ruby/gems/2.0.0/gems/passenger-5.0.23/buildout/apache2/mod_passenger.so <IfModule mod_passenger.c> PassengerDefaultUser www-data PassengerRoot /usr/local/lib/ruby/gems/2.0.0/gems/passenger-5.0.23 PassengerDefaultRuby /usr/local/bin/ruby </IfModule> 网站可用/默认如下。 # redmine ### <Directory /var/www/redmine> RailsBaseURI /redmine PassengerResolveSymlinksInDocumentRoot on </Directory> 当我转到url / redmine我得到一个目录列表和redmine不开始。 任何指针?
我有一个部署与Apache 2.2.22服务器后清漆。 我想完成的是用htpasswd保护一个目录的密码,但是对于来自ips的某些用户来说这个访问是不需要authentication的。 AuthType Basic AuthName "test" AuthUserFile /www/.htpasswd Require valid-user order deny,allow deny from all SetEnvIF X-Forwarded-For "1.2.3.4" AllowIP Allow from env=AllowIP Satisfy any 我现在所做的是这样的,这是一个解决方法,但是它正在工作。 如果X-Forwarded-For IP(客户端)是1.2.3.4,那么让他无需validation就可以观看页面。 这个问题是不安全的,客户端可以设置一个X-Forwareded-For标头并绕过authentication。 我已经尝试了Apache RPAF模块: <IfModule rpaf_module> RPAFenable On RPAFsethostname On RPAFproxy_ips 127.0.0.1 varniship </IfModule> 理论上应该限制来自代理的X-Forwarded-For请求,我甚至不确定在这种情况下我需要这个模块,因为代理将总是把X-Forwarded-For客户端IP放在它的后面。 所以要求如下: X-Forwarded-For: <varniship>, clientip 客户可以再次操纵客户。 有一个更好的方法吗?
我有一个运行所有我的PHP Web应用程序的apache2服务器,我试图运行一个nodejs应用程序。 我已启用代理和proxy_http,但始终显示503服务不可用页面 <VirtualHost *:80> SERVERNAME abc.mysite.com SERVERALIAS www.abc.mysite.com DocumentRoot /var/www/html/node_app/ options -Indexes ProxyRequests off #ProxyPass /maintenance.html ! ProxyPass / http://localhost:3000/ ProxyPassReverse / http://localhost:3000/ </VirtualHost> node_app文件夹中有启动快速服务器的app.js 这是我的app.js var http = require('http'), express = require('express'), chatServer = require('./lib/chat-server'); var app = express(); app.use(express.static(__dirname + '/public')); var server = http.createServer(app).listen('3000', '127.0.0.1'); app.get('/', function(req, res){ res.sendFile(__dirname + '/views/index.html'); […]
我有一个Android应用程序,它使用内部协议来声明一个意图。 您可以通过打开包含以下链接的网页来启动它: myapplication://foo-bar 我想在我的网站上的一个url,将301redirect到自定义,内部,制定的协议。 这个想法是,我们的Android应用程序将在用户点击该链接时启动(应用程序已经安装)。 我可以简单地在HTML页面中添加一个anchro链接,但是我不能修改这个HTML。 我必须使用Apache。 我试过这个mod_rewrite规则: RewriteRule "^/app$" myapplication://foo-bar [R=permanent,L] 但是它总是在前面加上主机名,所以我在Location头得到这个: Location: https://example.com/myapplication://foo-bar 我如何指示mod_rewrite使用myapplication://foo-bar的URL( myapplication://foo-bar )?
对于HAProxy或Apache,是否存在与nginx的ngx_http_auth_request_module等效的模块? 该模块允许通过HTTP支持自定义身份validation。 我引用: ngx_http_auth_request_module模块(1.5.4+)根据子请求的结果实现客户端授权。 如果子请求返回2xx响应码,则允许访问。 如果返回401或403,则访问被拒绝,并显示相应的错误代码。 子请求返回的任何其他响应代码都被认为是错误的。
我有一个运行Apache和PHP的Linux服务器。 有时(大约每十打一次),在更新PHP文件和/或静态文件后,Apache将在5到10分钟后挂起(取决于服务器的活动)。 这个过程将会一个接一个地不响应,直到所有的过程被有效的“locking”。 这些文件是使用git checkout进行部署的。 据我了解,git做primefaces文件更新,我设法排除opcache每次部署后重置它。 有没有人经历过这样的情况,对可能的原因有个想法?