Налаштування віртуальних хостів

Віртуальний хост є додатковою ідентифікацією для веб-сервера. Apache може обслуговувати кілька веб-сайтів (наприклад, hackware.ru і kali.tools), оскільки HTTP-запити включають в себе як ім'я запитуваної веб-сайту, так і локальну частину URL (ця функція називається віртуальні хости на основі імені).

Конфігурація за замовчуванням для Apache 2 включає віртуальні хости на основі імені. Крім того, віртуальний хост за замовчуванням визначається у файлі /etc/apache2/sites-enabled/000-default.conf; цей віртуальний хост буде використовуватися, якщо не знайдений хост, відповідний запитом, надісланим клієнтом.

Важливе зауваження: Запити про невідомих віртуальних хостах завжди будуть обслуговуватися першим певним віртуальним хостом, тому пакет поставляється з файлом конфігурації 000-default.conf, який в сортуванні йде попереду всіх інших файлів, які ви могли б створити.

Потім кожен додатковий віртуальний хост описується файлом, що зберігається в / etc / apache2 / sites-available /. Зазвичай файл називається іменем хоста сайту, за яким слід суфікс .conf (наприклад: www.example.com.conf). Потім ви можете включити новий віртуальний хост за допомогою

a2ensite www.example.com

Нижче наведена мінімальна конфігурація віртуального хоста для веб-сайту, файли якого зберігаються в /srv/www.example.com/www/ (певному за допомогою директиви DocumentRoot):

ServerName www.example.com ServerAlias ​​example.com DocumentRoot /srv/www.example.com/www

Ви також можете розглянути можливість додавання директив CustomLog і ErrorLog для настройки Apache, які вкажуть на файли для збереження журналів веб-сервера.

Детальну покрокову інструкцію про налаштування віртуальних хостів ви знайдете в статті « Як налаштувати віртуальні хости веб-сервера Apache ». Хоча в заголовку зазначено, що вона для Ubuntu, ця інструкція в повній мірі може бути застосована і до Kali Linux.

Часто використовувані директиви

Коротко розглядаються деякі з звичайно використовуваних конфігураційних налаштувань Apache.

Основний файл конфігурації зазвичай включає кілька блоків Directory; вони дозволяють вказувати різні типи поведінки для сервера в залежності від місця розташування обслуговується файлу. Такий блок зазвичай включає в себе директиви Options і AllowOverride:

Options Includes FollowSymLinks AllowOverride All DirectoryIndex index.php index.html index.htm

Директива DirectoryIndex містить список файлів, які потрібно спробувати знайти, коли клієнтський запит збігається з каталогом. Перший існуючий файл в списку використовується і відправляється як відповідь.

За директивою Options слід список опцій, які потрібно включити: значення None відключає всі опції; відповідно, All включає їх все крім MultiViews. Є такі доступні опції:

• ExecCGI - вказує, що можуть бути виконані скрипти CGI.
• FollowSymLinks - повідомляє серверу, що можна переходити по символічним посиланням, і що відповідь повинна містити те, на що вказує ця посилання.
• SymLinksIfOwnerMatch - також повідомляє серверу слідувати символічним посиланнями, але тільки тоді, коли посилання і її мета мають одного і того ж власника.
• Includes - включає Server Side Includes (SSI). Це директиви, вбудовані в HTML-сторінки і виконувані «на льоту» для кожного запиту.
• Indexes - повідомляє серверу про відображення вмісту каталогу якщо HTTP-запит, відправлений клієнтом, вказує на каталог без індексного файлу (тобто, коли в цьому каталозі не існує файлів, згаданих директивою DirectoryIndex).
• MultiViews - включає узгодження контенту; це може бути використано сервером для повернення веб-сторінки, що відповідає предпочитаемому мови, вказаною в браузері.

Додатково дивіться « Файли налаштувань веб-сервера Apache ».

вимога аутентифікації

У деяких випадках доступ до частини веб-сайту повинен бути обмежений, тому доступ до вмісту надається тільки легітимним користувачам, які вводять вірне ім'я користувача і пароль.

Файл .htaccess містить директиви конфігурації Apache, які застосовуються щораз, коли запит стосується елементу з каталогу, в якому зберігається цей файл .htaccess. Ці директиви є рекурсивними, тобто діють на всі підкаталоги.

Більшість директив, які можуть виконуватися в блоці Directory, також застосовні в файлі .htaccess. У директиві AllowOverride перераховані всі параметри, які можна включити або відключити за допомогою .htaccess. Звичайним використанням цієї опції є обмеження ExecCGI, так що адміністратор вибирає, які користувачі можуть запускати програми під ідентифікатором веб-сервера (користувач www-data).

Приклад файлу .htaccess, що вимагає аутентифікації

Require valid-user AuthName "Private directory" AuthType Basic AuthUserFile / etc / apache2 / authfiles / htpasswd-private

Базова аутентифікація не забезпечує безпеку: Система аутентифікації, яка використовується в наведеному вище прикладі (Basic), має мінімальну безпеку, оскільки пароль відправляється у відкритому тексті (він кодується тільки як base64, що є простою кодуванням, а не методом шифрування). Слід також зазначити, що документи, захищені цим механізмом, проходять через мережу у відкритому вигляді. Якщо важлива безпека, весь HTTP-сеанс повинен бути зашифрований за допомогою Transport Layer Security (TLS).

Файл / etc / apache2 / authfiles / htpasswd-private містить список користувачів і паролів; його зазвичай обробляють за допомогою команди htpasswd. Наприклад, для додавання користувача або зміни пароля використовується наступна команда:

htpasswd / etc / apache2 / authfiles / htpasswd-private user New password: Re-type new password: Updating password for user user

Якщо файл ще не створений, то його можна створити командою:

mkdir / etc / apache2 / authfiles / htpasswd -c / etc / apache2 / authfiles / htpasswd-private user New password: Re-type new password: Adding password for user user

Обмеження доступу

Директива Require управляє обмеженнями доступу для каталогу (і, рекурсивно, його підкаталогів).

Її можна використовувати для обмеження доступу за багатьма критеріями; ми зупинимося на описі обмеження доступу на основі IP-адреси клієнта, але його можна зробити набагато потужнішим, особливо якщо кілька Requiredirectives об'єднані в блоці RequireAll.

Наприклад, ви можете обмежити доступ локальною мережею (доступ мають тільки користувачі з поточної локальної мережі):

Require ip 192.168.0.0/16

Додаткові приклади дивіться в статті " Контроль доступу до сайту (блокування по IP, User-Agent) ".

MySQL в Kali Linux

Багато веб-додатки використовують бази даних MySQL для зберігання інформації. Тому разом з Apache, зазвичай, використовують і MySQL.

Пакет MySQL вже встановлений в Kali Linux, для його запуску виконайте:

sudo systemctl start mysql

Щоб включити автозапуск MySQL виконайте:

sudo systemctl enable mysql

Щоб відключити автозапуск MySQL виконайте:

sudo systemctl disable mysql

Рішення проблеми з помилкою # 1698 - Access denied for user 'root' @ 'localhost' в Kali Linux

MySQL 5.7 змінила модель безпеки: тепер вхід в MySQL під рутом (root) вимагає sudo (при цьому пароль все одно може бути порожнім). При цих настройках багато веб-додатки не зможуть працювати.

Для отримання доступу до бази даних MySQL / MariaDB звичайному користувачеві без використання sudo привілеїв, зайдіть в запрошення командного рядка MySQL

sudo mysql

і запустіть наступні команди:

use mysql; update user set plugin = '' where User = 'root'; flush privileges; exit

А після перезапуску службу MySQL:

sudo systemctl restart mysql

Більш безпечним варіантом є створення нових користувачів для роботи з MySQL. Розглянемо на прикладі створення користувача для phpMyAdmin:

1. Підключіться до mysql

sudo mysql --user = root mysql

2. Створіть користувача для phpMyAdmin

Запустіть наступні команди (замініть some_pass на бажаний пароль):

CREATE USER 'phpmyadmin' @ 'localhost' IDENTIFIED BY 'some_pass'; GRANT ALL PRIVILEGES ON *. * TO 'phpmyadmin' @ 'localhost' WITH GRANT OPTION; FLUSH PRIVILEGES;

Якщо ваш phpMyAdmin підключається до localhost, то цього повинно бути достатньо.

Пароль MySQL в Kali Linux

Для щойно встановленої MySQL пароль користувача root є порожнім. Щоб його змінити запустіть і дотримуйтесь інструкцій:

sudo mysql_secure_installation

Як скинути пароль MySQL в Kali Linux

Якщо ви раптом забули пароль від MySQL в Kali Linux, то ви можете скинути пароль рута, відкрийте два термінали, в першому наберіть:

sudo systemctl stop mysql sudo mysqld_safe --skip-grant-tables

В іншому терміналі

mysql -u root mysql update user set password = PASSWORD ( "НОВИЙ ПАРОЛЬ") where User = 'root'; flush privileges; quit

Зверніть увагу, що рядок НОВИЙ ПАРОЛЬ потрібно замінити на той пароль, який ви хочете встановити для рута MySQL.

У першому терміналі CTRL + C

У будь-якому терміналі:

sudo systemctl start mysql

Все, тепер у вашій MySQL новий пароль.

Помилка «ERROR 2002 (HY000): Can not connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2" No such file or directory ")» в Kali Linux

Якщо хтось намагається використати ваш MySQL, наприклад:

sudo mysql

ви бачите помилку

«ERROR 2002 (HY000): Can not connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2" No such file or directory ")»

це означає, що служба MySQL не запущено. Для запуску виконайте:

sudo systemctl start mysql

Помилка «ERROR 1045 (28000): Access denied for user 'root' @ 'localhost' (using password: NO)»

Ця помилка викликана тим, що ви намагаєтеся підключитися до СУБД без пароля, наприклад, так:

sudo mysql

Для підключення з паролем використовуйте опцію -p, після якої потрібно вказати пароль:

sudo mysql -p ПАРОЛЬ

Помилка «ERROR 1045 (28000): Access denied for user 'root' @ 'localhost' (using password: YES)»

Ця помилка викликана тим, що ви ввели невірний пароль.

SSH в Kali Linux

SSH дозволяє віддалено входити в систему, передавати файли або виконувати команди. Це інструмент (ssh) і сервіс (sshd) стали галузевим стандартом для віддаленого підключення до машин.

Хоча пакет openssh-server встановлений за замовчуванням, служба SSH відключена за замовчуванням і, таким чином, не запускається під час завантаження. Ви можете вручну запустити службу SSH за допомогою:

systemctl start ssh

або налаштувати її для запуску під час завантаження за допомогою:

systemctl enable ssh

Служба SSH має відносно нормальну конфігурацію за замовчуванням, але, з огляду на її потужні можливості і чутливий характер, добре знати, що ви можете зробити з її конфігураційних файлів / etc / ssh / sshd_config. Всі параметри задокументовані в sshd_config (5).

Конфігурація за замовчуванням відключає вхід на основі пароля для користувача root, а це означає, що ви повинні спочатку налаштувати SSH-ключі за допомогою ssh-keygen. Ви можете поширити це на всіх користувачів, встановивши PasswordAuthentication на no, або ви можете зняти це обмеження, змінивши PermitRootLogin на yes (замість стандартного prohibit-password). Служба SSH прослуховує за замовчуванням на порту 22, але ви можете змінити це за допомогою директиви Port.

Щоб застосувати нові настройки, ви повинні запустити

systemctl reload ssh

Створення нових ключів хоста SSH

Кожен SSH-сервер має свої власні криптографічні ключі; вони називаються «SSH host keys» і зберігаються в / etc / ssh / ssh_host_ *. Вони повинні бути конфіденційними, не можна використовувати однакові ключі на декількох машинах.

Коли ви встановлюєте свою систему шляхом копіювання повного образу диска (замість використання debian-installer), образ може містити попередньо згенеровані ключі хоста SSH, які ви повинні замінити новими ключами. Можливо, образ також містить пароль root за замовчуванням, який ви захочете скинути одночасної з генерацією ключів. Ви можете зробити все це за допомогою наступних команд:

passwd [...] rm / etc / ssh / ssh_host_ * dpkg-reconfigure openssh-server service ssh restart

Налаштування входу в Kali Linux через SSH без пароля

Якщо ви регулярно працюєте з системою по SSH, то, швидше за все, вам захочеться налаштувати статичний IP адреса, для цього зверніться до інструкції « Як налаштувати Kali Linux на використання статичного IP адреси ».

На локальній машині (з якої заходимо):

ssh-keygen -t rsa

Без попереднього підключення, виконуємо команду на віддаленій машині - IP (192.168.1.35) і ім'я користувача (mial) поміняйте на свої: