Jump to content
Froxlor Forum
  • 0
NitroxydeX

Datenbankname/-nutzer nicht frei wählbar | Apache Config Problem

Question

Hallo Community und Staff,

bezüglich eines Serverwechsel stande nun auch eine Änderung des Control Panels an, da unser bisher genutztes einfach zu wenig geupdatet wurde und Fehler selbst gefixt werden mussten.

Es blieb eigentlich nur Froxlor übrig. Allerdings haben wir nun feststellen müssen, dass man bei Froxlor nicht die Möglichkeit hat den Datenbanknamen und Nutzer frei zu wählen, was viele als hohes Sicherheitsrisiko werten. Warum ist dies so gewählt? Und gibt es bereits jetzt schon eine Möglichkeit das zu aktivieren?

Zum anderen Problem: Froxlor scheint magisch alles abzufangen. Bislang hatte ich Apache so konfiguriert, dass alle nicht vorhanden Vhosts ins 403-Forbidden Nirvana gesendet werden. Gleiche Konfiguration habe ich nun auch mit Froxlor versucht und mein Abfangen als 01-beginnende Apache config hinterlegt. Dies fängt auch direkte Aufrufe der IP ab, allerdings funktioniert dies weder mit der IP noch mit nicht angelegten (Sub)-Domains. Es wird immer automatisch auf den FQDN des Panels umgeleitet, was eigentlich gar nicht möglich sein sollte. 

 

Vielen Dank schon mal für die Antworten :)

Share this post


Link to post
Share on other sites

5 answers to this question

Recommended Posts

  • 0
6 hours ago, NitroxydeX said:

Warum ist dies so gewählt?

Weil es sich genau wie FTP am user-orientiert, stammt noch aus SysCP zeiten und gab nie probleme damit. Wenn der User nicht grad "123456" oder "test123" als Passwort nutzt, sondern was anständiges, gibt es da auch kein großes Sicherheitsrisiko...zumindest weiss ich nicht was du meinst.

7 hours ago, NitroxydeX said:

Und gibt es bereits jetzt schon eine Möglichkeit das zu aktivieren?

Ich verstehe nicht WAS du aktivieren willst...aber ändern kann man lediglich den Kunden Prefix und das SQL Infix...siehe dazu Einstellunen.

Zum Anderen: Froxlor macht nix magisch, froxlor erstellt vhost-configs. Mehr nicht. Wenn du da noch eigene 01-* configs bastelst kann ich dir kaum helfen, denn ich weiss nicht was drinn steht. Bzw. deckt froxlor vllt einfach nicht deine Vorstellung vom handling der IP Aufrufe oder nicht-verwendeteten (Sub)Domains ...

Share this post


Link to post
Share on other sites
  • 0

Test

5 hours ago, d00p said:

Weil es sich genau wie FTP am user-orientiert, stammt noch aus SysCP zeiten und gab nie probleme damit. Wenn der User nicht grad "123456" oder "test123" als Passwort nutzt, sondern was anständiges, gibt es da auch kein großes Sicherheitsrisiko...zumindest weiss ich nicht was du meinst.

Es ist aus vielerlei Sicht immer sinnvoller, wenn man Datenbank und Usernamen frei und wesentlich stärker wählen kann. Außerdem sieht es auch wesentlich Übersichtlicher aus.

5 hours ago, d00p said:

Zum Anderen: Froxlor macht nix magisch, froxlor erstellt vhost-configs. Mehr nicht. Wenn du da noch eigene 01-* configs bastelst kann ich dir kaum helfen, denn ich weiss nicht was drinn steht. Bzw. deckt froxlor vllt einfach nicht deine Vorstellung vom handling der IP Aufrufe oder nicht-verwendeteten (Sub)Domains ...

Die apache config ist nichts besonderes. Eine Wildcard für alle IPs auf Port 80 und 443 das jegliche Anfragen abfängt, die nicht von angelegten VHosts abgedeckt sind und auf ein 403 schubst. Hat bislang in der Praxis auch mit dem anderen Panel so funktioniert.

DocumentRoot /var/www
	<Directory "/var/www/">
	deny from all
	</Directory>

Nun ist es allerdings so, dass beim Aufruf der IPs oder (Sub-)Domains die noch keinen VHost haben, man auf das Panel geschubst wird. Das Panel soll aber wirklich NUR über seinen FQDN erreichbar sein.

Share this post


Link to post
Share on other sites
  • 0
1 hour ago, NitroxydeX said:

Es ist aus vielerlei Sicht immer sinnvoller, wenn man Datenbank und Usernamen frei und wesentlich stärker wählen kann. Außerdem sieht es auch wesentlich Übersichtlicher aus.

Sinnvoller und übersichtlicher sei mal dahin gestellt. Ansichtssache. Wir machen es halt so, Ende.

1 hour ago, NitroxydeX said:

Die apache config ist nichts besonderes. Eine Wildcard für alle IPs auf Port 80 und 443 das jegliche Anfragen abfängt, die nicht von angelegten VHosts abgedeckt sind und auf ein 403 schubst. Hat bislang in der Praxis auch mit dem anderen Panel so funktioniert.

Das sollte auch weiterhin funktionieren, beachte das Apache vorallem die Reihenfolge der vhosts-dateien berücksichtigt.

1 hour ago, NitroxydeX said:

Nun ist es allerdings so, dass beim Aufruf der IPs oder (Sub-)Domains die noch keinen VHost haben, man auf das Panel geschubst wird. Das Panel soll aber wirklich NUR über seinen FQDN erreichbar sein.

Standardmäßig korrekt, wenn du keine 000-default aktiv hast (o.Ä.) denn die froxlor-host vhosts sind die ersten die matchen (10_*.conf). Du kannst durchaus mit eigener config wie du es schon gezeigt hast dafür sorgen, dass ips und unbekannte subomains woanders landen, klappt bei mir seit jahren wunderbar.

Share this post


Link to post
Share on other sites
  • 0
16 minutes ago, d00p said:

Das war kein Verbesserungsvorschlag sondern ein "wie blöd, andere können das alle"...und sorry wenn es dich abschreckt, so ist es aber, meckern können sie alle, aber Mal einen anständigen pull-request/Patch bekommt man nur selten. 

Es tut mir ja leid, aber es war eine ganz normale Frage. Eine Aussage a lá "Das war bei XYZ schon so" könnte man auch als ein "Das haben die auch so gemacht, warum sollten wir es anders(besser) machen". Es war niemals als Angriff gedacht.

Aber du sprichst es selbst an. Einen anständigen Pull-Request/Patch bekommt man selten. Das liegt wohl einfach daran, dass ich finde, man sollte nur etwas wirklich anrühren, wenn man auch selbst davon überzeugt ist, dass es wirklich gut, sicher und fehlerfrei ist.

Als Administrator und Lead Developer sollte man allerdings auf "Angriffe" niemals so gereizt reagieren. Das gehört nun mal dazu. Das ist keine Kritik, nur ein Hinweis. Mit jedem gehen mal die Pferde durch.

 

5 minutes ago, d00p said:

Standardmäßig korrekt, wenn du keine 000-default aktiv hast (o.Ä.) denn die froxlor-host vhosts sind die ersten die matchen (10_*.conf). Du kannst durchaus mit eigener config wie du es schon gezeigt hast dafür sorgen, dass ips und unbekannte subomains woanders landen, klappt bei mir seit jahren wunderbar.

Es war keine 000 default aktiviert. Der Catch war die erste aktive Config für Apache, trotzdem wurde immer wieder aufs Panel geleitet.

Share this post


Link to post
Share on other sites
  • 0
1 minute ago, NitroxydeX said:

Als Administrator und Lead Developer sollte man allerdings auf "Angriffe" niemals so gereizt reagieren. Das gehört nun mal dazu. Das ist keine Kritik, nur ein Hinweis. Mit jedem gehen mal die Pferde durch.

Grundsätzlich korrekt...nur geht mir so ein dummes gepöbel von leuten die grad 5 minuten mit froxlor arbeiten tierisch aufn sack wenn sie meinen alles besser wissen zu müssen. Ich mach das hier schon ne ganze weile und das meiste von dem zeug hat seine gründe.

2 minutes ago, NitroxydeX said:

Es war keine 000 default aktiviert. Der Catch war die erste aktive Config für Apache, trotzdem wurde immer wieder aufs Panel geleitet.

Merkwürdig, no-paste doch bitte mal die gesamte Ordner-Struktur deines /etc/apache2/sites-enabled/ ordners und den kompletten inhalt deiner ersten config die abfangen soll

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Similar Content

    • By irisdina
      Warning, this is not an official guide!!!
      1.
      sudo mv /etc/apt/source.list /etc/apt/source.list.bak 1a. Create new Source.list
      sudo nano /etc/apt/source.list 1b.  insert (for Debian Stretch)
      1.2B (for Ubuntu Cosmic)
       
      1c. 
      sudo apt update && sudo apt dist-upgrade && sudo apt autoclean && sudo apt autoremove 1d. 
      sudo apt install curl wget apt-transport-https dirmngr git software-properties-common Now you can start setting up your server
      2. MariaDB install
      Warning use sudo command für this install!
      sudo apt install mariadb-server mariadb-client 2a. MariaDB 10.3 Workround (Optional)
      3. nginx install
      sudo apt install nginx 3a. 
      mkdir /etc/nginx/sites-available mkdir /etc/nginx/sites-enabled 3b. nano /etc/nginx/nginx.conf
      4. PHP install
      sudo apt-get -y install php7.3-fpm php7.3-mysql php7.3-curl php7.3-gd php7.3-intl php-pear php-imagick php7.3-imap php-memcache php7.3-pspell php7.3-recode php7.3-sqlite3 php7.3-tidy php7.3-xmlrpc php7.3-xsl php7.3-mbstring php-gettext php7.3-mysql php7.3-curl php7.3-gd php7.3-intl php-pear php-imagick php7.3-imap php-memcache php7.3-memcached php7.3-pspell php7.3-recode php7.3-sqlite3 php7.3-tidy php7.3-xmlrpc php7.3-xsl php7.3-mbstring php-gettext php7.3-fpm php7.3-cli php7.3-cgi php-bcmath php-zip php7.3-fpm php7.3-curl php7.3-gd php7.3-mysql php7.3-mbstring php7.3-zip php7.3-bcmath zip unzip 4a. 
      sudo service nginx restart sudo service php7.3-fpm restart Froxlor install
      There are two ways to get Froxlor. Stable (wget) and Beta Build (git / Master)
      Stable Version
      1. 
      cd /var/www/html/ 1a. 
      sudo https://files.froxlor.org/releases/froxlor-latest.tar.gz && sudo tar xzfv froxlor-latest.tar.gz or
      Git Version (Beta Version)
      sudo git clone https://github.com/Froxlor/Froxlor.git && sudo chown -HR www-data:www-data Froxlor/ sudo apt install composer  su - www-data -s /bin/bash cd /var/www/html/Froxlor/ 1a(2). Composer install in your Froxlor directory
      composer install --no-dev 1b. 
      sudo chown -R www-data:www-data Froxlor/ Set up Froxlor
      2. Open Your Browser
      2a.
      http://your IP or Hostname/Froxlor
       

      Install Froxlor finish
       3d. Move userdata (Optional) 
      sudo mv /tmp/userdata.inc.php /var/www/html/Froxlor/lib/ 2c. 
      sudo rm /etc/nginx/site-enable/default don't restart nginx!
      Froxlor Settings
      1. Cronjob
      sudo nano /etc/cron.d/froxlor insert 
      # # Set PATH, otherwise restart-scripts won't find start-stop-daemon # PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin # # Regular cron jobs for the froxlor package # # Please check that all following paths are correct # */5 * * * * root /usr/bin/nice -n 5 /usr/bin/php -q /var/www/html/Froxlor/scripts/froxlor_master_cronjob.php sudo chmod 0640 "/etc/cron.d/froxlor" sudo chown root:0 "/etc/cron.d/froxlor" sudo service cron restart 2. Nginx PHP Backend
      Settings > Webserver settings > Nginx PHP backend
      from 127.0.0.1:8888 to unix:/run/php/php7.3-fpm.sock
      3. 
      sudo mkdir -p /var/customers/webs/ sudo mkdir -p /var/customers/logs/ sudo mkdir -p /var/customers/tmp sudo chmod 1777 /var/customers/tmp sudo service nginx restart 4. IPs and Ports > Add IP/Port

      2a(1), SSL Port



      Wait 5min for Autimatic Start Froxlor's cronjob or start the cronjob manually
      sudo php /var/www/html/Froxlor/scripts/froxlor_master_cronjob.php --force --debug Optional
      PHP-FPM activate
      1. User/Group add
      sudo adduser froxlorlocal --disabled-password --no-create-home && sudo usermod -a -G www-data froxlorlocal 2. libnss-extrausers install 
      sudo apt install nscd libnss-extrausers sudo mkdir -p /var/lib/extrausers sudo touch /var/lib/extrausers/{passwd,group,shadow} sudo mv "/etc/nsswitch.conf" "/etc/nsswitch.conf.frx.bak" sudo nano /etc/nsswitch.conf # Make sure that `passwd`, `group` and `shadow` have mysql in their lines # You should place mysql at the end, so that it is queried after the other mechanisams # passwd: compat extrausers group: compat extrausers shadow: compat extrausers hosts: files dns networks: files dns services: db files protocols: db files rpc: db files ethers: db files netmasks: files netgroup: files bootparams: files automount: files aliases: files sudo service nscd restart sudo nscd --invalidate=group 2a. Settings > System settings > Activate > Use libnss-extrausers instead of libnss-mysql

      3. Settings > PHP-FPM > Activated:
      Change from NO to YES
      3a. PHP-FPM versions
      Change > php-fpm restart command:
      service php7.3-fpm restart and
      Configuration directory of php-fpm: > to 
      /etc/php/7.3/fpm/pool.d/ 3b. Settings > Froxlor VirtualHost settings > Activate > Enable PHP-FPM for the Froxlor vHost

      3c. 
      sudo chown -HR froxlorlocal:froxlorlocal /var/www/html/Froxlor SSL / Let's Encrypt activate
      1.
      sudo apt install certbot 1a. 
      sudo mkdir /etc/nginx/ssl && cd /etc/nginx/ssl 1b. Create SSL File
      sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt 1c. 
      sudo nano /etc/nginx/acme.conf insert
      location /.well-known/acme-challenge { alias /var/www/html/Froxlor/.well-known/acme-challenge; location ~ /.well-known/acme-challenge/(.*) { default_type text/plain; } }  
      2. Open your  Froxlor Panel
      Settings> SSL > Activated:
      Change from NO to YES
      2a. Settings > SSL > Settings
      Change your path from your certificate / Keyfile
      Path to the SSL certificate
      insert
      /etc/nginx/ssl/nginx.crt Path to the SSL Keyfile
      insert
      /etc/nginx/ssl/nginx.key 2b. Settings > SSL > Settings
      Activate > Enable Let's Encrypt

      Change Path to the acme.conf snippet to > 
      /etc/nginx/acme.conf 2c. Activate on Settings > Froxlor VirtualHost settings
      - Enable Let's Encrypt for the froxlor vhost
      - Enable SSL-redirect for the froxlor vhost
      - HTTP Strict Transport Security (HSTS)
      - Include HSTS for any subdomain






      2d. Activated HTTP2 Support on > Settings > Nginx
       
    • By nisamudeen97
      Hi,
       
      I need to enable access log for froxlor.   In froxlor vhost config I cannot see access log enabled.  If I edit manually it is getting overwritten.  Below is my vhost config for froxlor.  let me know how to enable access log and error log for foxlor.
       
      <VirtualHost 192.168.73.40:443>
      DocumentRoot "/var/www/froxlor/"
      ServerName hostname.cm
      SSLEngine On
      SSLProtocol -ALL +TLSv1 +TLSv1.2
      SSLCompression Off
      SSLHonorCipherOrder On
      SSLCipherSuite ECDH+AESGCM:ECDH+AES256:!aNULL:!MD5:!DSS:!DH:!AES128
      SSLVerifyDepth 10
      SSLCertificateFile /etc/apache2/ssl/*********.crt
      SSLCertificateKeyFile /etc/apache2/ssl/******.key
      SSLCACertificateFile /etc/apache2/ssl/*******CA.crt
      SSLCertificateChainFile /etc/apache2/ssl/******.crt
      </VirtualHost>
       
    • By Andrew Stafford
      Good day, 
      First time posting here, I just got Froxlor setup on a hyperV, Debian 9 VM.
      It is up and running, got my customers/ domains added. I can't seem to get the domain to cooperate though. 
      I use Godaddy to buy and host my domains. What do I need to do on Godaddy and through Froxlor to get my website visible to the public?
      I currently tried setting an a record on godaddy with my servers ip.
      I changed the name servers in froxlor to those listed by godaddy for my domain.
      Am i on the right track or missing it entirely?
      Any help would be appreciated!
      Thanks, - Andrew 
    • By Christian Vogel
      Ich habe Froxlor installiert und alle Konfigurationen ausgeführt. Dennoch kann ich nicht über Outlook oder Mail auf mein Imap Konto zugreifen. 
      Im syslog sehe ich
      Sep 10 10:11:51 vserver3130 dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=87.191.51.26, lip=109.73.50.135, session=<uGoEloF1eIxXvzMa>
      postconf -d und dovecot -n hab ich als Textdatei angehängt.
      Habe auch schon etwas bei Google gesucht und hier im Forum die Suchfunktion bemüht - finde aber keine Lösung. Kann mir hier jemand helfen? Werden noch andere Infos benötigt für eine Lösung?
      Danke
      Christian
       
       
      dovecot.txt
      postconf.txt
    • By LukasH
      Einen wunderschönen guten Tag, 
      ich habe eine kleine Frage zum Froxlor Mailserver in Verbindung mit Autokonfiguration bzw. Microsoft Outlook.
      Und zwar nutze ich für den IMAP Server die Adresse "mail.domainname.tld", hierfür gibt es ein SSL Zertifikat welches auch passt und alles ist gut wenn man Konten manuell damit einrichtet. Wenn ich nun das Konto bei Outlook hinzufüge ohne manuelle Konfiguration nimmt Outlook automatisch imap.domainname.tld, hier gibt es dann natürlich einen Zertifikatsfehler da das Zertifikat ja für mail. ausgestellt ist. 
      Ich habe allerdings nie eine Autokonfiguration oder sonst irgend etwas in die Richtung konfiguriert?! Ist das Standardmäßig an? Wenn ja wo finde ich die Config um das anzupassen?
      Vielen Dank schon einmal für eure Hilfe!




×
×
  • Create New...