Hallo,
Op ons kantoor draait een W2k8 R2 server waarop ons CRM systeem een een aantal tools draaien op Apache.
Om het eenvoudig bereikbaar en zo veilig mogelijk te houden heb ik het volgende gedaan:
- hq.bedrijfsnaam.com -> publiek IP-adres van ons kantoor
- port forward voor poort 80 en 443 naar privaat adres van de server
- de poorten open in de firewall
- Apache 2.2 op de server met:
- Overbodige modules uitgeschakeld
- Basedirs ingesteld zodat de pakketten en tools alleen daar bij kunnen waar ze moeten zijn
- Als documentroot een map waar niets in staat en waarvan de Directory op Deny All staat
- Één virtuele host op poort 80 die al het verkeer redirect naar poort 443.
- Een certificaat voor hq.bedrijfsnaam.com van een vertrouwde CA geïnstalleerd
Dan nu het probleem, zoals je boven kunt zien hebben we 1 IP-adres en 1 sub-domain (anders moeten we voor ieder sub-domain een certificaat kopen). Toch willen we 6 vhosts laten draaien. We willen niet aan extra poortnummers voor elke tool, mensen hier willen het graag zo eenvoudig mogelijk, het gaat om dagelijks gebruik door niet technische mensen.
Om het toch mogelijk te maken meerdere diensten te draaien gebruiken we nu:
Ok, dus voor zover mij bekend best strict en obscuur in de hoop dat aanvallers er ook geen zin in hebben. Maar nu lopen we tegen het probleem aan dat:
"C:/www/apache/htdocs/dummy" retourneert. En we willen bijv. graag: F:/www/htdocs/dienst[n]-prod zien.
Heeft iemand een idee om de vhosts bijvoorbeeld per directory/path aan te maken?
Als je tot hier gekomen bent dan dank ik je hartelijk!
Op ons kantoor draait een W2k8 R2 server waarop ons CRM systeem een een aantal tools draaien op Apache.
Om het eenvoudig bereikbaar en zo veilig mogelijk te houden heb ik het volgende gedaan:
- hq.bedrijfsnaam.com -> publiek IP-adres van ons kantoor
- port forward voor poort 80 en 443 naar privaat adres van de server
- de poorten open in de firewall
- Apache 2.2 op de server met:
- Overbodige modules uitgeschakeld
- Basedirs ingesteld zodat de pakketten en tools alleen daar bij kunnen waar ze moeten zijn
- Als documentroot een map waar niets in staat en waarvan de Directory op Deny All staat
- Één virtuele host op poort 80 die al het verkeer redirect naar poort 443.
- Een certificaat voor hq.bedrijfsnaam.com van een vertrouwde CA geïnstalleerd
Dan nu het probleem, zoals je boven kunt zien hebben we 1 IP-adres en 1 sub-domain (anders moeten we voor ieder sub-domain een certificaat kopen). Toch willen we 6 vhosts laten draaien. We willen niet aan extra poortnummers voor elke tool, mensen hier willen het graag zo eenvoudig mogelijk, het gaat om dagelijks gebruik door niet technische mensen.
Om het toch mogelijk te maken meerdere diensten te draaien gebruiken we nu:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
| NameVirtualHost *:443
<VirtualHost hq.bedrijfsnaam.com:443>
Servername hq.bedrijfsnaam.com
ServerAlias 192.168.x.x, x.x.x.x
ServerAdmin ik@bedrijfsnaam.com
DocumentRoot "C:/www/apache/htdocs/dummy"
<Directory "C:/www/apache/htdocs/dummy">
AllowOverride None
Order Allow, Deny
Deny From All
</Directory>
Alias /dienst1_beta "F:/www/htdocs/dienst1-beta"
Alias /dienst1 "F:/www/htdocs/dienst1-prod"
Alias /dienst[n]_beta "F:/www/htdocs/dienst[n]-beta"
Alias /dienst[n] "F:/www/htdocs/dienst[n]-prod"
<Directory "F:/www/apache/htdocs/dienst1">
AllowOverride All
Order Allow, Deny
Allow From All
AuthType Basic
AuthName "Niet publieke dienst"
AuthUserFile "C:\www\apache\conf\.htpassword-intern"
Require valid-user
Allow from 192.168.x.0/24
Satisfy Any
</Directory>
<Directory "F:/www/apache/htdocs/dienst[n]">
AllowOverride All
Order Allow, Deny
Allow From All
</Directory>
... etc
</VirtualHost> |
Ok, dus voor zover mij bekend best strict en obscuur in de hoop dat aanvallers er ook geen zin in hebben. Maar nu lopen we tegen het probleem aan dat:
code:
1
2
3
| <?php> echo $_SERVER["DOCUMENT_ROOT"] ; ?> |
"C:/www/apache/htdocs/dummy" retourneert. En we willen bijv. graag: F:/www/htdocs/dienst[n]-prod zien.
Heeft iemand een idee om de vhosts bijvoorbeeld per directory/path aan te maken?
Als je tot hier gekomen bent dan dank ik je hartelijk!
