標籤: Ubuntu

設定Apache以用戶憑證(Client CA)的方式進行訪客驗證

Linux、Mac應用程式
Andy Wu

在使用Apache管理網頁服務時,有時會遇到希望可以設定某些網頁服務是只有經過授權的人才能存取

常見的做法是可以利用Apache跳出提示輸入帳密提示框後,成功登入者才能進行下一步訪問

今天我們要來講講第二種做法:

發憑證給授權的使用者,並且在每次訪客訪問網站時驗證訪客提交的憑證是否為我方發行無變造過的

確認無誤才準放行進行下一步訪問,如果沒有憑證或憑證沒有通過驗證者都一律拒於門外

 
使用用戶憑證(Client CA)的方式進行訪客驗證就好像使用SSH Key登入SSH的概念,不用再多背一組帳密

而且因為是使用憑證,他的安全性遠高於帳密

想想假設今天一個網站使用帳密進行驗證,積極一點的駭客會使用暴力破解或字典檔想設法去猜中帳密

但如果今天使用憑證進行驗證,是不是就算再積極也無從下手了呢

 

步驟

要設定Apache以用戶憑證(Client CA)的方式進行訪客驗證有三個步驟要做:

  • 產生用戶憑證檔與憑證私鑰
  • 轉換成pfx格式
  • 修改Apache的設定檔強制驗證訪客提供的憑證

以下我就拿自己的phpMyAdmin資料庫後台網頁進行示範,設定只有持有合格的用戶憑證者才能存取

Read More

啟用Apache的反向代理(reverse proxy)將請求導至其它port

Linux、Mac應用程式
Andy Wu

假設今天某公司提供了三個web服務,分別是服務1、服務2、服務3,這間公司希望把這三個服務架在同一台伺服器上,但網頁的port只有80(或https的443)能對外啊,有沒有辦法先讓請求統一發至port 80或443後再轉發給對應服務的port呢?有的,這就是反向代理(reverse proxy)的概念。


(反向代理示意圖)

我們先在伺服器架一個反向代理的服務在port 80上(本篇以Apache為例),然後設定轉發規則將往後收到的請求根據這個規則轉發至對應的服務。對應的服務處理完後再丟還給反向代理,反向代理再將結果回傳給使用者,完成一次循環。

Read More

更改phpMyAdmin在Apache託管的預設port

Linux、Mac應用程式
Andy Wu

有時為了安全起見,我們希望將phpMyAdmin這種存取資料庫的窗口不要使用網頁伺服器常用的port 80

這樣有個好處,就是能在server前面的防火牆建立filter rule讓該port只有特定ip能存取

 

為了達成目的,我們修改ports.conf讓Apache除了監聽port 80,也監聽準備拿來放phpMyAdmin的port 81

用自己熟悉的編輯器打開/etc/apache2/ports.conf,在Listen 80下面再加一行

Listen 81

 

存檔,切換目錄到/etc/apache2/sites-available/下新增phpmyadmin.conf

把連到port 81時要對應到哪個資料夾的規則寫在裡面

<VirtualHost *:81>
    DocumentRoot /usr/share/phpmyadmin/
</VirtualHost>
Read More

在Ubuntu上架SVN+Apache與權限設定(mod_authz_svn)

Git版本控制
Andy Wu

這學期教了svn怎麼使用,其中,老師出了作業要我們架兩個repository:

  • 一個設為公開,所有人都有access的權限,但只能read。
  • 一個設為非公開,必須先登入才能access這個repository,此外,不同帳號登入有不同的權限。

我在權限的地方被折騰了很久,所以一定要筆記一下以免老了忘記Orz…

Read More

Terminal安裝phpMyAdmin

Linux、Mac應用程式
Andy Wu在〈Terminal安裝phpMyAdmin〉中有 1 則留言

對於剛接觸資料庫,對資料庫還沒什麼概念的人

在第一次接觸MariaDB(MySQL)等預設沒提供那麼圖形化、直覺化的管理程式

只靠terminal下指令的方式通常操作會感到卡卡的(我!!!)

還好有phpMyAdmin這樣的package,讓不熟悉資料庫的人能在初期快速建立對資料庫的認識

Read More