Erro 403 proibido ao tentar acessar o servidor da web Apache 2.4.7 no navegador


9

Quando eu acesso o servidor da web Apache usando o host local do mesmo PC do servidor da web, ele mostra a página padrão do Apache2 Ubuntu.

Mas quando eu acesso o servidor da web Apache usando 192.168.0.2 , ele está dando o erro 403 Proibido (Proibido Você não tem permissão para acessar / neste servidor).

Detalhes do servidor Web

  • Ubuntu 14.04 LTS
  • Apache versão 2.4.7

Comandos de propriedade

www-data sudo adduser ftpuser www-data
sudo chown -R www-data:ftpuser /var/www
sudo chmod -R g+rwX /var/www

No arquivo etc / apache2 / apache2.conf

ServerName 192.168.0.2

<Directory/>
    AllowOverride All
    Require all granted
</Directory>

No arquivo etc / apache2 / port.conf

NameVirtualHost *:80
Listen *:80

Host virtual para um site

<VirtualHost *:80>
    ServerName mysite
    DocumentRoot /var/www/mysite
    <Directory /var/www/mysite>
        Options None FollowSymLinks
        AllowOverride None
        Require all granted
    </Directory>    
</VirtualHost>

Quais configurações eu preciso fazer em que lugar? Por favor ajude...


Eu jogaria fora a ServerName 192.168.0.2linha, pois a diretiva ServerName deve ter o nome como www.server.com e não o número IP. Eu acho que isso poderia resolver o problema. Para ServerName, você deve inserir o nome do servidor, se o tiver. ServerName permite hospedagem virtual baseada em nome, o que permite ter mais sites no mesmo IP.
ninguém

@ ninguém, já o removeu do arquivo, mas ainda não obteve sucesso.
K Ahir

Respostas:


7

1. Você deve configurar seu arquivo / etc / hosts assim:

127.0.0.1   localhost
127.0.0.1   test-site
127.0.1.1   my-hostname
# The following lines are desirable for IPv6 capable hosts. etc...

Onde test-siteestá o segundo "localhost". E my-hostnameé o "Nome do host do sistema" definido em /etc/hostname.


2. Você deve definir e ativar um host virtual (VH):

Existe um HTTP VH padrão. É colocado em /etc/apache2/sites-available/. O nome do arquivo é 000-default.conf. Você precisa editá-lo (você pode renomeá-lo, se quiser, ou criar outros arquivos .conf, com base nele) e, depois disso, é necessário ativá-lo.

Você pode habilitá-lo manualmente através da criação de "link simbólico suave":

sudo ln -s /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-enabled/

Ou você pode usar a ferramenta Apache2 chamada a2ensite , que faz o mesmo:

sudo a2ensite 000-default.conf

Vamos supor que haja 3 hosts virtuais , SSL ativado e domínio privado registrado (SOS.info, por exemplo):

/etc/apache2/sites-available/http.SOS.info.conf
/etc/apache2/sites-available/https.SOS.info.conf

E um que é criado para os propósitos deste tópico:

/etc/apache2/sites-available/http.test-site.conf

O conteúdo dos 2 primeiros VHs é:

$ cat /etc/apache2/sites-available/http.SOS.info.conf

<VirtualHost *:80>    
    ServerName SOS.info
    ServerAlias www.SOS.info
    ServerAdmin admin@SOS.info

    # Redirect Requests to SSL
    Redirect permanent "/" "https://SOS.info/"

    ErrorLog ${APACHE_LOG_DIR}/http.SOS.info.error.log
    CustomLog ${APACHE_LOG_DIR}/http.SOS.info.access.log combined       
</VirtualHost>

Este redireciona todas as solicitações HTTP para HTTPS.

$ cat /etc/apache2/sites-available/https.SOS.info.conf

<IfModule mod_ssl.c>    
    <VirtualHost _default_:443>    
        ServerName SOS.info
        ServerAlias www.SOS.info
        ServerAdmin admin@SOS.info

        DocumentRoot /var/www/html  

        SSLEngine on    
        SSLCertificateFile /etc/ssl/certs/SOS.info.crt
        SSLCertificateKeyFile /etc/ssl/private/SOS.info.key
        SSLCertificateChainFile /etc/ssl/certs/SOS.info.root-bundle.crt
        #etc..
    </VirtualHost>    
</IfModule>

Este é o HTTPS VH.

O conteúdo desses dois arquivos pode ser publicado em um arquivo, mas, nesse caso, o gerenciamento ( a2ensite/ a2dissite) será mais difícil.


O terceiro host virtual é aquele criado para nossos propósitos :

$ cat /etc/apache2/sites-available/http.test-site.conf

<VirtualHost *:80>
    ServerName test-site
    ServerAlias test-site.SOS.info

    DocumentRoot /var/www/test-site
    DirectoryIndex index.html

    ErrorLog ${APACHE_LOG_DIR}/test-site.error.log
    CustomLog ${APACHE_LOG_DIR}/test-site.access.log combined

    <Directory /var/www/test-site>
        # Allow .htaccess 
        AllowOverride All
        Allow from All
    </Directory>    
</VirtualHost>

3. Com esta configuração, você deve acessar:

http://localhost     # pointed to the directory of the mine Domain 
https://localhost    # iin our case: /var/www/html (SOS.info), but you should get an error, because the SSL certificate

http://SOS.info      # which redirects to https://SOS.info
https://SOS.info     # you should have valid SSL certificate

http://www.SOS.info  # which is allied to http://SOS.info and redirects to https://SOS.info
https://www.SOS.info # which is allied to https://SOS.info

No exemplo principal, você deve acessar e :

http://test-site           # pointed to the directory /var/www/test-site
http://test-site.SOS.info  # which is allied to http://test-site

Tente abrir o site no navegador da web ou tente (no terminal) com os próximos comandos:

$ curl -L http://test-site/index.html
$ curl -L http://test-site.SOS.info/index.html

Obviamente, você precisa ter algumas index.htmlpáginas no DocumentRoot :)



Vou deixar as próximas anotações por motivo de pediatria :)


4. Você precisa do `/ etc / apache2 / apache2.conf` configurado corretamente.

É uma boa idéia dedicar algum tempo para melhorar a segurança do seu servidor. Estes manuais são sobre a configuração de segurança: e . Aqui você pode obter certificado SSL gratuito. Esses sites ajudarão você a verificar seu progresso: e .

De acordo com os manuais de segurança acima, o /etc/apache2/apache2.confarquivo deve se parecer com:

Mutex file:${APACHE_LOCK_DIR} default

PidFile ${APACHE_PID_FILE}

Timeout 60

#KeepAlive Off
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 5

HostnameLookups Off

ErrorLog ${APACHE_LOG_DIR}/error.log
LogLevel warn

IncludeOptional mods-enabled/*.load
IncludeOptional mods-enabled/*.conf

Include ports.conf

<Directory />
    Options None FollowSymLinks 
    AllowOverride None
    Require all denied
</Directory>

<Directory /var/www/>
    Options None FollowSymLinks 
    AllowOverride None
    Require all granted
</Directory>

AccessFileName .htaccess
<FilesMatch "^\.ht">
    Require all denied
</FilesMatch>

LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %O" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

IncludeOptional conf-enabled/*.conf
IncludeOptional sites-enabled/*.conf

# Hide Server type in the http error-pages 
ServerSignature Off
ServerTokens Prod

# Etag allows remote attackers to obtain sensitive information 
FileETag None

# Disable Trace HTTP Request
TraceEnable off

# Set cookie with HttpOnly and Secure flag.
# a2enmod headers
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

# Clickjacking Attack
Header always append X-Frame-Options SAMEORIGIN

# CX-XSS Protection
Header set X-XSS-Protection "1; mode=block"

# Disable HTTP 1.0 Protocol
RewriteEngine On
RewriteCond %{THE_REQUEST} !HTTP/1.1$
RewriteRule .* - [F]

# Change the server banner @ ModSecurity 
# Send full server signature so ModSecurity can alter it
ServerTokens Full
# Alter the web server signature sent by Apache
<IfModule security2_module>
    SecServerSignature "Apache 1.3.26"
</IfModule>
Header set Server "Apache 1.3.26"
Header unset X-Powered-By

# Hde TCP Timestamp
#   gksu gedit /etc/sysctl.conf
#   >> net.ipv4.tcp_timestamps = 0
# Test: sudo hping3 SOS.info -p 443 -S --tcp-timestamp -c 1

# Disable -SSLv2 -SSLv3 and weak Ciphers
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"

5. Configure o firewall.

Para permitir / negar acesso externo ao seu servidor web, você pode usar o UFW (Uncomplicated Firewall):

sudo ufw allow http
sudo ufw allow https

Para permitir apenas o tcpuso do protocolo:

sudo ufw allow http/tcp
sudo ufw allow https/tcp

Você pode usar e o número da porta diretamente:

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Apenas no caso de você poder recarregar a "tabela de regras":

sudo ufw reload

Você pode usar a interface GUI da UFW , chamada gufw .

sudo apt update
sudo apt install gufw
gufw &

Escolha o Officeperfil. Ele irá definir: Status:ON, Incoming:Denye Outgoing:Allowe adicionar suas regras.


6. Se você possui um roteador, não esqueça de encaminhar algumas portas:

Se você possui um roteador e deseja que seu servidor web seja acessível pela Internet , não esqueça de adicionar algum encaminhamento de porta. Algo como este .


O arquivo 000-default.conf já está lá na pasta / etc / apache2 / sites-enabled /. Então, eu ainda devo habilitá-lo usando o comando acima? Por favor deixe-me saber.
K Ahir

Se já estiver lá, você não precisará usá-los.
precisa saber é

Talvez você encontre as razões desse erro em /var/log/apache2/error.log.
precisa saber é

Eu atualizei meu comentário.
pa4080

Recebendo esta mensagem de erro ... [Sex 12 de agosto 17: 18: 37.224182 2016] [mpm_prefork: aviso] [pid 4335] AH00169: capturado SIGTERM, desligando [Sex 12 de agosto 17: 18: 40.679317 2016] [mpm_prefork: aviso] [pid 4571] AH00163: Apache / 2.4.7 (Ubuntu) PHP / 5.5.9-1ubuntu4.19 configurado - continuando as operações normais [Fri 12 de agosto 17: 18: 40.679382 2016] [núcleo: aviso] [pid 4571] AH00094 : Linha de comando: '/ usr / sbin / apache2'
K Ahir 12/08

3

Altere a propriedade do diretório em que você está exibindo seus arquivos usando o comando:

sudo chown -R www-data:www:data <directory_where_you_serve_files_from>

Desculpe por não mencionar na minha pergunta, mas já atribui a propriedade a um grupo e usuário específicos para a pasta / var / www.
K Ahir

0

Eu devo ligá-lo a esta resposta, onde resolveu o meu problema.

Primeiro de tudo, adicione permissões à pasta:

sudo chmod -R 775 /var/www

Em seguida, adicione este texto:

<Directory /var/www/html>
  AllowOverride All
</Directory>

Para o final deste arquivo:

/etc/apache2/sites-available/000-default.conf
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.