Jump to content
Froxlor Forum
  • 0

Datenbankname/-nutzer nicht frei wählbar | Apache Config Problem


NitroxydeX

Question

Hallo Community und Staff,

bezüglich eines Serverwechsel stande nun auch eine Änderung des Control Panels an, da unser bisher genutztes einfach zu wenig geupdatet wurde und Fehler selbst gefixt werden mussten.

Es blieb eigentlich nur Froxlor übrig. Allerdings haben wir nun feststellen müssen, dass man bei Froxlor nicht die Möglichkeit hat den Datenbanknamen und Nutzer frei zu wählen, was viele als hohes Sicherheitsrisiko werten. Warum ist dies so gewählt? Und gibt es bereits jetzt schon eine Möglichkeit das zu aktivieren?

Zum anderen Problem: Froxlor scheint magisch alles abzufangen. Bislang hatte ich Apache so konfiguriert, dass alle nicht vorhanden Vhosts ins 403-Forbidden Nirvana gesendet werden. Gleiche Konfiguration habe ich nun auch mit Froxlor versucht und mein Abfangen als 01-beginnende Apache config hinterlegt. Dies fängt auch direkte Aufrufe der IP ab, allerdings funktioniert dies weder mit der IP noch mit nicht angelegten (Sub)-Domains. Es wird immer automatisch auf den FQDN des Panels umgeleitet, was eigentlich gar nicht möglich sein sollte. 

 

Vielen Dank schon mal für die Antworten :)

Link to comment
Share on other sites

5 answers to this question

Recommended Posts

6 hours ago, NitroxydeX said:

Warum ist dies so gewählt?

Weil es sich genau wie FTP am user-orientiert, stammt noch aus SysCP zeiten und gab nie probleme damit. Wenn der User nicht grad "123456" oder "test123" als Passwort nutzt, sondern was anständiges, gibt es da auch kein großes Sicherheitsrisiko...zumindest weiss ich nicht was du meinst.

7 hours ago, NitroxydeX said:

Und gibt es bereits jetzt schon eine Möglichkeit das zu aktivieren?

Ich verstehe nicht WAS du aktivieren willst...aber ändern kann man lediglich den Kunden Prefix und das SQL Infix...siehe dazu Einstellunen.

Zum Anderen: Froxlor macht nix magisch, froxlor erstellt vhost-configs. Mehr nicht. Wenn du da noch eigene 01-* configs bastelst kann ich dir kaum helfen, denn ich weiss nicht was drinn steht. Bzw. deckt froxlor vllt einfach nicht deine Vorstellung vom handling der IP Aufrufe oder nicht-verwendeteten (Sub)Domains ...

Link to comment
Share on other sites

Test

5 hours ago, d00p said:

Weil es sich genau wie FTP am user-orientiert, stammt noch aus SysCP zeiten und gab nie probleme damit. Wenn der User nicht grad "123456" oder "test123" als Passwort nutzt, sondern was anständiges, gibt es da auch kein großes Sicherheitsrisiko...zumindest weiss ich nicht was du meinst.

Es ist aus vielerlei Sicht immer sinnvoller, wenn man Datenbank und Usernamen frei und wesentlich stärker wählen kann. Außerdem sieht es auch wesentlich Übersichtlicher aus.

5 hours ago, d00p said:

Zum Anderen: Froxlor macht nix magisch, froxlor erstellt vhost-configs. Mehr nicht. Wenn du da noch eigene 01-* configs bastelst kann ich dir kaum helfen, denn ich weiss nicht was drinn steht. Bzw. deckt froxlor vllt einfach nicht deine Vorstellung vom handling der IP Aufrufe oder nicht-verwendeteten (Sub)Domains ...

Die apache config ist nichts besonderes. Eine Wildcard für alle IPs auf Port 80 und 443 das jegliche Anfragen abfängt, die nicht von angelegten VHosts abgedeckt sind und auf ein 403 schubst. Hat bislang in der Praxis auch mit dem anderen Panel so funktioniert.

DocumentRoot /var/www
	<Directory "/var/www/">
	deny from all
	</Directory>

Nun ist es allerdings so, dass beim Aufruf der IPs oder (Sub-)Domains die noch keinen VHost haben, man auf das Panel geschubst wird. Das Panel soll aber wirklich NUR über seinen FQDN erreichbar sein.

Link to comment
Share on other sites

1 hour ago, NitroxydeX said:

Es ist aus vielerlei Sicht immer sinnvoller, wenn man Datenbank und Usernamen frei und wesentlich stärker wählen kann. Außerdem sieht es auch wesentlich Übersichtlicher aus.

Sinnvoller und übersichtlicher sei mal dahin gestellt. Ansichtssache. Wir machen es halt so, Ende.

1 hour ago, NitroxydeX said:

Die apache config ist nichts besonderes. Eine Wildcard für alle IPs auf Port 80 und 443 das jegliche Anfragen abfängt, die nicht von angelegten VHosts abgedeckt sind und auf ein 403 schubst. Hat bislang in der Praxis auch mit dem anderen Panel so funktioniert.

Das sollte auch weiterhin funktionieren, beachte das Apache vorallem die Reihenfolge der vhosts-dateien berücksichtigt.

1 hour ago, NitroxydeX said:

Nun ist es allerdings so, dass beim Aufruf der IPs oder (Sub-)Domains die noch keinen VHost haben, man auf das Panel geschubst wird. Das Panel soll aber wirklich NUR über seinen FQDN erreichbar sein.

Standardmäßig korrekt, wenn du keine 000-default aktiv hast (o.Ä.) denn die froxlor-host vhosts sind die ersten die matchen (10_*.conf). Du kannst durchaus mit eigener config wie du es schon gezeigt hast dafür sorgen, dass ips und unbekannte subomains woanders landen, klappt bei mir seit jahren wunderbar.

Link to comment
Share on other sites

16 minutes ago, d00p said:

Das war kein Verbesserungsvorschlag sondern ein "wie blöd, andere können das alle"...und sorry wenn es dich abschreckt, so ist es aber, meckern können sie alle, aber Mal einen anständigen pull-request/Patch bekommt man nur selten. 

Es tut mir ja leid, aber es war eine ganz normale Frage. Eine Aussage a lá "Das war bei XYZ schon so" könnte man auch als ein "Das haben die auch so gemacht, warum sollten wir es anders(besser) machen". Es war niemals als Angriff gedacht.

Aber du sprichst es selbst an. Einen anständigen Pull-Request/Patch bekommt man selten. Das liegt wohl einfach daran, dass ich finde, man sollte nur etwas wirklich anrühren, wenn man auch selbst davon überzeugt ist, dass es wirklich gut, sicher und fehlerfrei ist.

Als Administrator und Lead Developer sollte man allerdings auf "Angriffe" niemals so gereizt reagieren. Das gehört nun mal dazu. Das ist keine Kritik, nur ein Hinweis. Mit jedem gehen mal die Pferde durch.

 

5 minutes ago, d00p said:

Standardmäßig korrekt, wenn du keine 000-default aktiv hast (o.Ä.) denn die froxlor-host vhosts sind die ersten die matchen (10_*.conf). Du kannst durchaus mit eigener config wie du es schon gezeigt hast dafür sorgen, dass ips und unbekannte subomains woanders landen, klappt bei mir seit jahren wunderbar.

Es war keine 000 default aktiviert. Der Catch war die erste aktive Config für Apache, trotzdem wurde immer wieder aufs Panel geleitet.

Link to comment
Share on other sites

1 minute ago, NitroxydeX said:

Als Administrator und Lead Developer sollte man allerdings auf "Angriffe" niemals so gereizt reagieren. Das gehört nun mal dazu. Das ist keine Kritik, nur ein Hinweis. Mit jedem gehen mal die Pferde durch.

Grundsätzlich korrekt...nur geht mir so ein dummes gepöbel von leuten die grad 5 minuten mit froxlor arbeiten tierisch aufn sack wenn sie meinen alles besser wissen zu müssen. Ich mach das hier schon ne ganze weile und das meiste von dem zeug hat seine gründe.

2 minutes ago, NitroxydeX said:

Es war keine 000 default aktiviert. Der Catch war die erste aktive Config für Apache, trotzdem wurde immer wieder aufs Panel geleitet.

Merkwürdig, no-paste doch bitte mal die gesamte Ordner-Struktur deines /etc/apache2/sites-enabled/ ordners und den kompletten inhalt deiner ersten config die abfangen soll

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...