Back to Question Center
0

كيف ينكر بشكل صحيح الوصول إلى الدليل رايلو من خلال سيمالت

1 answers:

لقد تم اختبار معركة على هذا وفشلت في تحقيق هدفي وهو حرمان جميع الوصول إلى جميع الدلائل باستثناء الدليل سيمالت والسماح فقط الوصول إلى جميع الدلائل الأخرى مع عناوين إب محددة.

للحصول على رايلو + أباتشي + تومكات تثبيت أنا اتبعت كثيرا هذا السيناريو: هتبس: // جيثب. كوم / تالترويم / سيمالت ثم التحقق من الإعدادات مع هذا البرنامج التعليمي: هتب: // بلوق - healthcare it support services. nictunney. كوم / 2012/03 / railo-هر-واباتشي على اساس الأمازون EC2. هتمل

من البرنامج النصي التثبيت يتم تمكين هذه التعديلات:

     سودو a2enmod سل
سودو a2enmod وكيل
سودو a2enmod proxy_http
سودو a2enmod إعادة كتابة
سودو a2ensite ديفولت-سل    

خارج البرنامج النصي نسخ المواقع - المتاحة لمواقع تمكين ثم إعادة تحميل أباتشي.

لدي دليل تم إنشاؤه ل رايلو كمل يقع في / فار / ووو / رايلو / التنقل المتصفح إلى هتب: // Server_IP_Address / قوات رايلو سل ويتحول إلى هتبس: // Server_IP_Address / رايلو مما يدل على مؤشر. الطب الشرعي. عدم توفير الفهرس. كف وإغفال هتبس يشير إلى توجيه ديركتورييندكس و ريوريتكوند من أباتشي يبدو أن يعمل ل فيرتوالوست تمكين المواقع.

المشكلة التي واجهتها هي أنني لا يمكن أن يبدو أن ينكر الوصول إلى جميع الدلائل باستثناء سيمالت. هيكل الدليل بلدي بسيط نوعا ما، ويبدو مثل هذا:

  • رايلو
    • خطأ
    • عام
    • نوتيبليك
    • ساندبوكس

سيمالت هي تكوينات بلدي المواقع تمكين:

     <فيرتوالوست *: 80>سيرفيرادمين ويباستر @ لوكالهوستدوكومنتروت / فار / ووو#Default رفض الكل لمنع المشي إلى الوراء في نظام الملفاتالاسم المستعار / رايلو / "/ فار / ووو / رايلو /"<ديركتوري ~ ". * / Railo / (؟! العامة). * ">رفض الطلب، السماحرفض من الجميعسكريبتالياس / سغي-بن / / أسر / ليب / سغي-بن /<ديركتوري "/ أسر / ليب / سغي-بن">ألوفيريد لا شيءخيارات + إكسيسجي -MultiViews + سيملينكسيفونرماتشيسمح النظام، ينكرالسماح من الجميعإرورلوغ $ {APACHE_LOG_DIR} / خطأ. سجل# القيم المحتملة ما يلي: تصحيح، معلومات، لاحظ، تحذير، خطأ، كريت،# أليرت، إمرج. تحذير لوغليفيلكوستوملوغ $ {APACHE_LOG_DIR} / أسيس. سجل جنبا إلى جنبإلياس / دوك / "/ أسر / شير / دوك /"<ديركتوري "/ أسر / شير / دوك /">مؤشرات الخيارات مولتيفوس فولوسملينكسألوفيريد لا شيءرفض الطلب، السماحرفض من الجميعالسماح من 127. 0. 0. 0/255. 0. 0. 0 :: 1/128دليل ديركتورييندكس. مؤشر كفم. كفمل الافتراضي. كفم الافتراضي. مؤشر كفمل. هتم. هتمل. مركبات الكربون الكلورية فلوريةريوريتينجين أونريوريتكوند٪ {SERVER_PORT}! ^ 443 $ريوريتيرول ^. * $ هتبس: //٪ {SERVER_NAME}٪ {REQUEST_URI} [L، R]
    

و

     <إفمودول mod_ssl. ج>
<فيرتوالوست _default_: 443>سيرفيرادمين ويباستر @ لوكالهوستدوكومنتروت / فار / وووالاسم المستعار / رايلو / "/ فار / ووو / رايلو /"<ديركتوري ~ "/ فار / ووو / رايلو / (؟! بوبليك). * ">رفض الطلب، السماحرفض من الجميعسكريبتالياس / سغي-بن / / أسر / ليب / سغي-بن /<ديركتوري "/ أسر / ليب / سغي-بن">ألوفيريد لا شيءخيارات + إكسيسجي -MultiViews + سيملينكسيفونرماتشيسمح النظام، ينكرالسماح من الجميعإرورلوغ $ {APACHE_LOG_DIR} / خطأ. سجل# القيم المحتملة ما يلي: تصحيح، معلومات، لاحظ، تحذير، خطأ، كريت،# أليرت، إمرج. تحذير لوغليفيلكوستوملوغ $ {APACHE_LOG_DIR} / ssl_access. سجل جنبا إلى جنبإلياس / دوك / "/ أسر / شير / دوك /"<ديركتوري "/ أسر / شير / دوك /">مؤشرات الخيارات مولتيفوس فولوسملينكسألوفيريد لا شيءرفض الطلب، السماحرفض من الجميعالسماح من 127. 0. 0. 0/255. 0. 0. 0 :: 1/128# سل تبديل المحرك:# تمكين / تعطيل طبقة المقابس الآمنة لهذا المضيف الظاهري. سلنجين جرا# يمكن إنشاء شهادة (سنيكيويل) توقيع ذاتيا عن طريق تثبيت# حزمة سل-سيرت. نرى# / أسر / شير / دوك / apache2. 2-المشترك / README. ديبيان. غز لمزيد من المعلومات. # إذا تم تخزين كل من المفتاح والشهادة في نفس الملف، فقط# هناك حاجة إلى توجيه سلسيرتيفيكاتفيل. سلسرتيفيكاتفيل / الخ / سل / سيرتس / سل-سيرت-سنيكيويل. بيمسلسيرتيفيكاتكيفيل / إتك / سل / بريفات / سل-سيرت-سناكويويل. مفتاح# سلسلة شهادات الخادم:# نقطة سلسرتيفيكاتكينفيل في ملف يحتوي على# تسلسل شهادات كا المشفرة بيم التي تشكل# سلسلة شهادة لشهادة الخادم. بدلا من ذلك# يمكن أن يكون الملف المشار إليه نفس سلسرتيفيكاتيفيل# عندما يتم إلحاق شهادات كا مباشرة إلى الملقم# شهادة ل كونفينينس. #SSLCertificateChainFile / إتك / apache2 / سل. إنبوب أشعة القطب السالب / خادم كاليفورنيا. إنبوب أشعة القطب السالب# مرجع مصدق (كا):# عين مسار التحقق من شهادة كا حيث يمكنك العثور على كا# شهادات مصادقة العميل أو بدلا من ذلك# ملف ضخم يحتوي على كل منهم (يجب أن يكون ملف بيم المشفرة)# ملاحظة: داخل سلكاسرتيفيكاتيباث تحتاج سيم لينكش التجزئة# للإشارة إلى ملفات الشهادة. استخدام المقدمة# ماكيفيل لتحديث ارتباطات التجزئة بعد التغييرات. #SSLCACertificatePath / إتك / سل / سيرتس /#SSLCACertificateFile / إتك / apache2 / سل. إنبوب أشعة القطب السالب / CA-حزمة. إنبوب أشعة القطب السالب# قوائم إبطال الشهادات (كرل):# تعيين مسار الإلغاء كا أين تجد كا كرلس للعميل# المصادقة أو بدلا من ذلك ملف ضخم يحتوي على كل شيء# منهم (يجب أن يكون ملف بتشفير بيم)# ملاحظة: داخل سلكاريفوكاتيونباث تحتاج سيم لينكس# للإشارة إلى ملفات الشهادة. استخدام المقدمة# ماكيفيل لتحديث ارتباطات التجزئة بعد التغييرات. #SSLCARevocationPath / إتك / apache2 / سل. CRL / CA-حزمة. CRL# مصادقة العميل (النوع):# نوع التحقق من شهادة العميل والعمق. الأنواع هي# نون، أوبتيونال، ريكير أند Optional_no_ca. العمق هو# الذي يحدد مدى عمق التحقق من الشهادة# سلسلة المصدر قبل البت في الشهادة غير صالحة. #SSLVerifyClient يتطلب#SSLVerifyDepth 10#صلاحية التحكم صلاحية الدخول:# مع سلركير يمكنك القيام به في الدليل التحكم في الوصول على أساس# على التعابير المنطقية المعقدة التعسفية التي تحتوي على الخادم# شيكات متغيرة وإرشادات بحث أخرى. بناء الجملة هو# خليط بين C و بيرل. راجع وثائق mod_ssl#لمزيد من التفاصيل. # <لوكاتيون />#SSLRequire (٪ {SSL_CIPHER}! ~ m / ^ (إكس | نول) / \# أند٪ {SSL_CLIENT_S_DN_O} إق "سنيك أويل، لت. "\# و٪ {SSL_CLIENT_S_DN_OU} في {"ستاف"، "كا"، "ديف"} \# و٪ {TIME_WDAY}> = 1 و٪ {TIME_WDAY} <= 5 \# و٪ {TIME_HOUR}> = 8 و٪ {TIME_HOUR} <= 20) \# أور٪ {REMOTE_ADDR} = ~ m / ^ 192 \. 76 \. 162 \. [0-9] + $ /# # خيارات محرك سل:# تعيين خيارات مختلفة لمحرك سل. # o فاكيباسيكوث:# ترجمة العميل X. 509 إلى تصريح أساسي. هذا يعني ذاك# يمكن استخدام أساليب أوث / دبموث القياسية للتحكم في الوصول. ال# اسم المستخدم هو إصدار 'سطر واحد' من X للعميل. 509 شهادة. # لاحظ أنه لا يتم الحصول على كلمة مرور من المستخدم. كل إدخال في المستخدم# فيل نيد ذيس باسورد: `xxj31ZMTZzkVA '. # o إكسبورتسرتداتا:# يؤدي هذا إلى تصدير متغيرين إضافيين للبيئة: SSL_CLIENT_CERT و# SSL_SERVER_CERT. هذه تحتوي على شهادات بيم المشفرة من# الخادم (موجود دائما) والعميل (موجود فقط عند العميل# المصادقة المستخدمة). يمكن استخدام هذا لاستيراد الشهادات# في مخطوطات سغي. # o ستدينفارس:# يؤدي هذا إلى تصدير متغيرات بيئة SSL_ * القياسية الخاصة بطبقة المقابس الآمنة / طبقة النقل الآمنة. # افتراضيا يتم إيقاف تشغيل هذا التصدير لأسباب تتعلق بالأداء،# لأن الخطوة استخراج عملية مكلفة وعادة ما يكون# غير مجدية لخدمة المحتوى الثابت. حتى واحد عادة تمكن# تصدير طلبات سغي و سسي فقط. # o ستريكتريكير:# هذا ينفي الوصول عند تطبيق "سلركريسل" أو "سلركير" حتى# تحت "تلبية أي" الوضع، ط. البريد. عند رفض الوصول# وأي وحدة أخرى يمكن تغييره. # o أوبرينيغوتيات:# هذا يتيح تحسين إعادة التفاوض على اتصال طبقة المقابس الآمنة (سل) عند سل# يتم استخدام التوجيهات في سياق كل دليل. #SSLOptions + فاكيباسيكوث + إكسبورتسيرداتا + ستريكتريكير<فليسماتش "\. (المجموعة الاستشارية لاندونيسيا | شتمل | phtml | فب) $ ">سلوبتيونس + ستدينفارس<ديركتوري / أسر / ليب / سغي-بن>سلوبتيونس + ستدينفارس# تعديلات بروتوكول سل:# آمنة و الافتراضي ولكن لا يزال سل / تلس الاغلاق المتوافقة القياسية# النهج هو أن mod_ssl يرسل إغلاق تنبيه تنبيه ولكن لا تنتظر# إغلاق تنبيه تنبيه من العميل. عندما كنت في حاجة الى الاغلاق مختلفة# يمكنك استخدام أحد المتغيرات التالية:# o سل-ونكلان-شوتون:# يؤدي هذا إلى إيقاف تشغيل غير نظيف عند إغلاق الاتصال، i. البريد. لا# سل إغلاق تنبيه يتم إرسال تنبيه أو السماح لتلقيها. هذا ينتهك# سل / تلس القياسية ولكن هناك حاجة لبعض المتصفحات الميت الدماغ. استعمال# هذا عندما تتلقى أخطاء I / O بسبب النهج القياسي حيث# mod_ssl يرسل إغلاق تنبيه التنبيه. # o سل-أكوريت-شوتون:# هذا يؤدي إلى إغلاق دقيق عند إغلاق الاتصال، ط. البريد. ا# سل إغلاق تنبيه تنبيه هو إرسال و mod_ssl ينتظر لإغلاق يخطر# تنبيه العميل. هذا هو 100٪ متوافق مع طبقة المقابس الآمنة / طبقة النقل الآمنة، ولكن في# الممارسة غالبا ما يسبب اتصالات معلقة مع المتصفحات الميت الدماغ. استعمال# هذا فقط للمتصفحات حيث تعرف أن تنفيذ طبقة المقابس الآمنة# يعمل بشكل صحيح. # ملاحظة: ترتبط معظم مشاكل العملاء المكسورين أيضا ب هتب# البقاء على قيد الحياة منشأة، لذلك عادة ما تريد بالإضافة إلى تعطيل# الحفاظ على قيد الحياة لهؤلاء العملاء، أيضا. استخدام متغير "نوكيباليف" لهذا. # وبالمثل، على المرء أن يجبر بعض العملاء على استخدام هتب / 1. 0 إلى الحل البديل# الخاصة بهم هتب / 1. 1. استخدام المتغيرات "دونغراد-1. 0 "و# "فورس-ريسبونز-1. 0 "لهذا. بروزرماتش "مسي [2-6]" \نوكيباليف سل-ونكلان-شوتون \تقليله-1. 0 فورس-ريسبونز-1. 0# مسي 7 وأحدث يجب أن تكون قادرة على استخدام كيباليفبروزرماتش "مسي [17-9]" سل-أونكلين-شوتوندليل ديركتورييندكس. مؤشر كفم. كفمل الافتراضي. كفم الافتراضي. مؤشر كفمل. هتم. أتش تي أم أل#الوكيل. كف و كفك إلى رايلوبروكسيباسماتش ^ / (. +. *)؟ $ هتب: // 127. 0. 0. 1: 8888/1 $بروكسيباسريفيرز / هتب: // 127. 0. 0. 1: 8888 /#Deny الوصول إلى المشرف باستثناء للعملاء المحليين<لوكاتيون / رايلو-كونتيكست / أدمين />رفض الطلب، السماحرفض من الجميع
# السماح من <أوميتد>
# السماح من <أوميتد>السماح من 127. 0. 0. 1

    

و apache2. يشمل ما يلي:

     # تضمين تكوينات المضيف الظاهري:تضمين المواقع /<إفمودول! mod_jk. ج>لودمودول jk_module / أسر / ليب / apache2 / مودولز / mod_jk. وبالتالي<إفمودول mod_jk. ج>جكمونت / *. كفم ajp13جكمونت / *. سفك ajp13جكمونت / *. تفعل ajp13جكمونت / *. جسب ajp13جكمونت / *. كفشارت ajp13جكمونت / *. كفم / * ajp13جكمونت / *. سفمل / * ajp13# تعيينات فليكس غيتيواي# جكمونت / flex2gateway / * ajp13# جكمونت / فلاشسرفيسز / غيتيواي / * ajp13# جكمونت / مساجبروكر / * ajp13جكمونتكوبي جميعجكلوغفيل / فار / لوغ / apache2 / mod_jk. سجل    

أعتقد أنني أفهم معظم هذا باستثناء إدراج jk_module الذي لاحظته يحتوي على خطأ يظهر في السجلات التي لا أستطيع فرزها:

[تحذير] لا جكشمفيل المعرفة في هتبد. أسيوط. استخدام الافتراضي/ إتك / apache2 / سجلات / جك-رونتيمي-ستاتوس

لقد راجعت التعبير العادي ضد مسارات الدلائل مع ريجكسبودي فقط للتأكد من أنني لم تكن صحيحة. المشكلة لا يبدو أن ريجكس ذات الصلة على الرغم من أنني قد يكون شيئا غير صحيح في توجيه الدليل. يبدو التوجيه الموقع أن تعمل بشكل صحيح لحجب الوصول سيمالت موقع المشرف.

February 6, 2018
. السبب الأكثر شيوعا في الواقع تحتاج هذا الملف هو موازنة التحميل، الذي لا يبدو وكأنك تفعل. والسبب الآخر هو لعمال الحالة الذين نادرا ما يستخدمون.

يمكنك معالجة الخطأ، إذا أردت، مع خط مماثل لما يلي في تكوين أباتشي الخاص بك: جكشمفيل / فار / لوغ / apache2 / mod_jk. شم

ومع ذلك، فإنه لن يضر لك ببساطة تجاهل الخطأ.

هناك وصف مفصل لما جكشمفيل هو هنا: هتب: // تومكات. غزاله / موصلات وثيقة / إشارة / اباتشي. هتمل

نأمل أن يساعد هذا.