|
<html><head>
|
|
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
|
|
<title>2.7. Webserver-Konfiguration</title><link rel="stylesheet" type="text/css" href="style.css"><meta name="generator" content="DocBook XSL Stylesheets V1.76.1-RC2"><link rel="home" href="index.html" title="kivitendo 3.9.1: Installation, Konfiguration, Entwicklung"><link rel="up" href="ch02.html" title="Kapitel 2. Installation und Grundkonfiguration"><link rel="prev" href="ch02s06.html" title="2.6. Anpassung der PostgreSQL-Konfiguration"><link rel="next" href="ch02s08.html" title="2.8. Der Task-Server"></head><body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><div class="navheader"><table width="100%" summary="Navigation header"><tr><th colspan="3" align="center">2.7. Webserver-Konfiguration</th></tr><tr><td width="20%" align="left"><a accesskey="p" href="ch02s06.html">Zurück</a> </td><th width="60%" align="center">Kapitel 2. Installation und Grundkonfiguration</th><td width="20%" align="right"> <a accesskey="n" href="ch02s08.html">Weiter</a></td></tr></table><hr></div><div class="sect1" title="2.7. Webserver-Konfiguration"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="Apache-Konfiguration"></a>2.7. Webserver-Konfiguration</h2></div></div></div><p>In diesem Abschnitt wird die Konfiguration des Apache-Webservers
|
|
beschrieben. kivitendo wird mittels FastCGI/FCGI ausgeführt.</p><p>Es ist empfehlenswert, SSL einzusetzen, um die Daten per HTTPS
|
|
verschlüsselt zwischen Browser und Webserver über das Netzwerk zu
|
|
übertragen. Eine Möglichkeit dazu ist das Erstellen eines self-signed
|
|
SSL Zertifikates, was unter Debian/Ubuntu durch Installieren des Pakets
|
|
<code class="literal">ssl-cert</code> geschehen kann.</p><p>Der Zugriff auf den Installationspfad von kivitendo im Dateisystem
|
|
muss in der Apache Webserverkonfigurationsdatei eingestellt werden,
|
|
welche beim Starten des Webservers eingelesen wird. Wird SSL/HTTPS
|
|
eingesetzt, so ist dies die Datei <code class="literal">default-ssl.conf</code>,
|
|
für unverschlüsseltes HTTP ist es die Datei
|
|
<code class="literal">000-default.conf</code>.</p><p>Bitte konsultieren Sie die Dokumentation des Apache-Webservers und
|
|
Ihres Betriebssystems. Es kann erforderlich sein, das SSL-Modul und die
|
|
Webserverkonfigurationsdatei zu aktivieren:</p><pre class="programlisting">a2enmod ssl
|
|
a2ensite default-ssl</pre><p>Unter Fedora und openSUSE müssen weiterhin in der Firewall die
|
|
Ports 80 (HTTP) bzw. 443 (HTTPS) geöffnet werden.</p><div class="sect2" title="2.7.1. Konfiguration für FastCGI/FCGI"><div class="titlepage"><div><div><h3 class="title"><a name="Apache-Konfiguration.FCGI"></a>2.7.1. Konfiguration für FastCGI/FCGI</h3></div></div></div><p>Mit FastCGI wird der kivitendo-Programmcode beim Start des
|
|
Webservers einmal geladen und danach wird nur die eigentliche
|
|
Programmlogik ausgeführt.</p><p>Zuerst muss das FastCGI-Modul aktiviert werden. Dies kann
|
|
unter Debian/Ubuntu z.B. mit folgendem Befehl geschehen:</p><pre class="programlisting">a2enmod fcgid</pre><p>Die Konfiguration für die Verwendung von kivitendo mit FastCGI
|
|
erfolgt durch Einfügen von <code class="function">Alias</code>-
|
|
und <code class="function">Directory</code>-Direktiven. Dabei wird zwischen
|
|
dem Installationspfad von kivitendo im Dateisystem
|
|
("<code class="filename">/path/to/kivitendo-erp</code>") und der URL
|
|
unterschieden, unter der kivitendo im Webbrowser erreichbar ist
|
|
("<code class="filename">/url/for/kivitendo-erp</code>").</p><p>Folgender Konfigurationsschnipsel funktioniert mit
|
|
mod_fcgid:</p><pre class="programlisting">AliasMatch ^/url/for/kivitendo-erp/[^/]+\.pl /path/to/kivitendo-erp/dispatcher.fcgi
|
|
Alias /url/for/kivitendo-erp/ /path/to/kivitendo-erp/
|
|
FcgidMaxRequestLen 10485760
|
|
|
|
<Directory /path/to/kivitendo-erp>
|
|
AllowOverride All
|
|
Options ExecCGI Includes FollowSymlinks
|
|
Require all granted
|
|
</Directory>
|
|
|
|
<DirectoryMatch /path/to/kivitendo-erp/users>
|
|
Require all denied
|
|
</DirectoryMatch></pre><p>Hierdurch wird nur ein zentraler Dispatcher gestartet. Alle
|
|
Zugriffe auf die einzelnen Scripte werden auf diesen umgeleitet.
|
|
Dadurch, dass zur Laufzeit öfter mal Scripte neu geladen werden,
|
|
gibt es hier kleine Performance-Einbußen.</p><p>Seit mod_fcgid-Version 2.3.6 gelten sehr kleine Grenzen für
|
|
die maximale Größe eines Requests. Mit folgender Zeile wird diese
|
|
Grenze hochgesetzt:</p><pre class="programlisting">FcgidMaxRequestLen 10485760</pre></div><div class="sect2" title="2.7.2. Aktivierung von mod_rewrite/directory_match für git basierte Installationen"><div class="titlepage"><div><div><h3 class="title"><a name="d0e1359"></a>2.7.2. Aktivierung von mod_rewrite/directory_match für git basierte Installationen</h3></div></div></div><p>
|
|
Aufgrund von aktuellen (Mitte 2020) Sicherheitswarnungen für git basierte Webanwendungen ist die mitausgelieferte .htaccess
|
|
restriktiver geworden und verhindert somit das Auslesen von git basierten Daten.
|
|
Für debian/ubuntu muss das Modul mod_rewrite einmalig so aktiviert werden:
|
|
</p><pre class="programlisting">a2enmod rewrite</pre><p>
|
|
Alternativ und für Installationen ohne Apache ist folgender Artikel interessant:
|
|
<a class="ulink" href="https://www.cyberscan.io/blog/git-luecke" target="_top">git-lücke</a>.
|
|
Anstelle des dort beschriebenen DirectoryMatch für Apache2 würden wir etwas weitergehend auch noch das Verzeichnis config miteinbeziehen
|
|
sowie ferner auch die Möglichkeit nicht ausschließen, dass es in Unterverzeichnissen auch noch .git Repositories geben kann.
|
|
Die Empfehlung für Apache 2.4 wäre damit:
|
|
</p><pre class="programlisting">
|
|
<DirectoryMatch "/(\.git|config)/">
|
|
Require all denied
|
|
</DirectoryMatch></pre><p>
|
|
|
|
</p></div><div class="sect2" title="2.7.3. Weitergehende Konfiguration"><div class="titlepage"><div><div><h3 class="title"><a name="d0e1373"></a>2.7.3. Weitergehende Konfiguration</h3></div></div></div><p>Für einen deutlichen Sicherheitsmehrwert sorgt die Ausführung
|
|
von kivitendo nur über https-verschlüsselten Verbindungen, sowie
|
|
weiteren Zusatzmassnahmen, wie beispielsweise Basic Authentication. Die
|
|
Konfigurationsmöglichkeiten sprengen allerdings den Rahmen dieser
|
|
Anleitung, hier ein Hinweis auf einen entsprechenden <a class="ulink" href="https://www.kivitendo.de/redmine/boards/1/topics/142" target="_top">Foreneintrag
|
|
(Stand Sept. 2015)</a> und einen aktuellen (Stand Mai 2017) <a class="ulink" href="https://mozilla.github.io/server-side-tls/ssl-config-generator/" target="_top">
|
|
SSL-Konfigurations-Generator</a>.</p></div><div class="sect2" title="2.7.4. Aktivierung von Apache2 modsecurity"><div class="titlepage"><div><div><h3 class="title"><a name="d0e1384"></a>2.7.4. Aktivierung von Apache2 modsecurity</h3></div></div></div><p>Aufgrund des OpenSource Charakters ist kivitendo nicht "out of the box" sicher.
|
|
Organisatorisch empfehlen wir hier die enge Zusammenarbeit mit einem kivitendo Partner der auch in der
|
|
Lage ist weiterführende Fragen in Bezug auf Datenschutz und Datensicherheit zu beantworten.
|
|
Unabhängig davon empfehlen wir im Webserver Bereich die Aktivierung und Konfiguration des Moduls modsecurity für den Apache2, damit
|
|
XSS und SQL-Injections verhindert werden.</p><p> Als Idee hierfür sei dieser Blog-Eintrag genannt:
|
|
<a class="ulink" href="https://doxsec.wordpress.com/2017/06/11/using-modsecurity-web-application-firewall-to-prevent-sql-injection-and-xss-using-blocking-rules/" target="_top">
|
|
Test Apache2 modsecurity for SQL Injection</a>.</p></div></div><div class="navfooter"><hr><table width="100%" summary="Navigation footer"><tr><td width="40%" align="left"><a accesskey="p" href="ch02s06.html">Zurück</a> </td><td width="20%" align="center"><a accesskey="u" href="ch02.html">Nach oben</a></td><td width="40%" align="right"> <a accesskey="n" href="ch02s08.html">Weiter</a></td></tr><tr><td width="40%" align="left" valign="top">2.6. Anpassung der PostgreSQL-Konfiguration </td><td width="20%" align="center"><a accesskey="h" href="index.html">Zum Anfang</a></td><td width="40%" align="right" valign="top"> 2.8. Der Task-Server</td></tr></table></div></body></html>
|