Ist eine Webseite über zwei oder mehrere Adressen erreichbar, zeigt aber immer auf den gleichen Inhalt, so ist dies aus Suchmaschienen-Sicht nicht optimal und führt zu einer niedrigeren Bewertung der Seite. Google spricht in diesem Zusammenhang von Duplicate content und gibt Tipps zur Vermeidung.

Mit einer Weiterleitung werden die Besucher und auch die Suchmaschienen zu der richtigen Domain geführt. In einer .htaccess-Datei lässt sich dieses Verhalten steuern:

www verhindern (allgemein)

RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.(.+)$ [NC]
RewriteRule ^(.*)$ http://%1/$1 [R=301,L]

www erzwingen (Domain bitte anpassen)

RewriteEngine On
RewriteCond %{HTTP_HOST} ^example\.com$ [NC]
RewriteRule ^(.*)$ http://www.example.com/$1 [R=301,L]

Das besondere bei diesen Weiterleitungen ist der Status-Code 301, worüber den Suchmaschienen mitgeteilt wird, dass die Umleitung permanent ist. Die “falschen” Domainamen werden so mit der Zeit aus dem Index der Suchmaschienen verschwinden. Das Ganze lässt sich natürlich anschließend auch noch testen.

Apache Dokumentation mod_rewrite
www.yes-www.org
no-www.org

Das Access-Log von Apache liegt im Klartext vor, wohingegen die älteren Zugriffe bereits mit Hilfe von Logrotate abgeschnitten und zusammen gepackt in separaten Dateien mit der Endung .gz gespeichert wurden.

Um nun nicht alle Archive von Hand zu entpacken und manuell die Zugriffe auf eine bestimmte Datei z.B. favicon.ico zusammen zählen zu müssen wird der folgende Befehl verwendet:

echo $((`grep ” /favicon.ico” *access*log | wc -l`+`zcat *access*gz | grep ” /favicon.ico” | wc -l`))

Das Ergebnis aller Zugriffe wird direkt von der Bash Konsole zusammengezählt und angezeigt.

Bitte beachten, dass das Suchwort von doppelten Anführungszeichen umschlossen ist, während die Summe der Zugriffe innerhalb der sog. Backticks ausgelesen und mit wc aufsummiert wird, während die Ergebnisse der Klartext und bereits gepackten Dateien von der Konsole zusammenzählt werden.

Ein übliches Vorgehen ist es solche Dateien erst gar nicht in das root Verzeichnis abzulegen, sondern auf gleicher Ebene parallel zum htdocs-Ordner. Da dies mitunter nicht möglich ist, werden Dateien mit der Endung .inc in einem Unterordner abgelegt und sind so für Besucher einsehbar.

Um dies zu vermeiden hilft die folgende Einstellung die man im jeweiligen vhost von Apache hinterlegt:

<Files ~ “\.inc$”>
Order allow,deny
Deny from all
</Files>

Ruft ein Besucher nun diese Datei auf, so erhält er eine Fehlermeldung statt dem Inhalt der Datei. Von PHP aus ist der Zugriff auf die Datei weiterhin möglich um z.B. Kennwörter zur Datenbank auszulesen.

Wie kann ich mein Datenbankpasswort gegen Spionage sichern?

Mit php 4.4.8 ist vermutlich die letzte Version von PHP4 erschienen. Der Support für diesen Versionszweig wurde somit auch mit Ablauf des Jahres 2007 eingestellt. Darum ist es sinnvoll auf die aktuelle Version zu aktualisieren, was jedoch auf einem Produktiv-Server nicht so einfach möglich ist, da eventuell Anhängigkeiten bestehen. Auf der Internetseite von PHP sind Tipps und eine FAQ bereitgestellt.

Üblicherweise läuft auf dem Server bereits php4 als Apache-Modul. Aufgrund der Anhängigkeiten von Debian ist es nicht möglich php5 als Zusatzmodul zu installieren, da sonst direkt php4 deinstalliert würde. Darum wird php5 mit den benötigten Zusatzmodulen als CGI-Modul (Wikipedia) eingerichtet:

apt-get install php5-cgi php5-gd php5-mcrypt php5-mhash php5-mysql php5-recode

Der Reihe nach werden nun einige Apache-Module aktiviert, die wie actions benötigt werden, sonst läuft php5 nicht als CGI-Modul:

a2enmod actions
a2enmod ssl
a2enmod rewrite
a2enmod suexec
a2enmod include

Die Konfiguration findet in der Datei /etc/apache2/apache2.conf statt, wo auch AddType und AddHandler definiert werden:

ScriptAlias /cgi-bin/ “/usr/lib/cgi-bin/”
AddType application/x-httpd-php5 .php5
Action application/x-httpd-php5 “/cgi-bin/php”

Somit werden alle Dateien mit der Endung .php5 vom CGI-Modul verarbeitet statt mit dem Apache-Modul. Alle Dateien jedoch umzubenennen wäre jetzt eine Menge Arbeit. Es geht einfacher indem im gewünschten VHost, die folgenden Zeilen eingetragen werden:

<VirtualHost *:80>
<Directory /var/www/htdocs >
Options +ExecCGI
</Directory>
AddType application/x-httpd-php5 .php
</VirtualHost>

Nun werden alle Dateien mit php5 ausgeliefert und die Seite kann ausgiebig getestet werden bevor der komplette Umstieg von php4 zu php5 gemacht wird.

Ein testen der aktuellen Konfiguration und ein anschließender Neustart ist selbsverständlich:

apache2ctl configtest
apache2ctl restart

Für einen Kalender wie Sunbird von der Mozilla Foundation ist ein funktionierendes System mit WebDAV (Wikipedia) Vorhaussetzung um anderen Personen seine Kalender zu zeigen, oder um zusammen in einem Kalender-Team zu arbeiten.

Weitere Anwendungsmöglichkeiten sind die Synchronisierung der Firefox-Bookmarks oder direkt als Dateiablage unter Windows.

Zunächst werden die dazugehörigen Apache Module aktiviert:

a2enmod dav_fs
a2enmod dav

Ein neuer Virtueller-Host wird dann zum WebDAV-Server. Für einen Gruppeordner und einen eigenen getrennten Ordner mit Lesezugriff für andere Benutzer würde die folgende Konfiguration gelten:

<VirtualHost *>
DocumentRoot /var/www/vhostname/htdocs
ServerName vhostname
<Directory /var/www/vhostname/htdocs>
DAV on
AuthType Basic
AuthName “iCal Login”
AuthUserFile /var/www/vhostname/.htpasswd
AuthGroupFile /var/www/vhostname/.htpasswdgrp
</Directory>
<Directory /var/www/vhostname/htdocs/benutzer1/>
require user benutzer1
<Limit GET>
require group teamgruppe
</Limit>
</Directory>
<Directory /var/www/vhostname/htdocs/team/>
require group teamgruppe
</Directory>
</VirtualHost>

Die Datei .htpasswd enthält alle Benutzer die Zugriff haben. Diese kann mit dem Programm htpasswd erstellt und gepflegt werden. In der Datei .htpasswdgrp findet die Gruppenzuordnung statt.

Wenn Apache auf die DAVLockDB-Datei /var/lock/apache2/DAVLock nicht die benötigten Zugriffsrechte für User und Group hat, kann der folgende Fehler entstehen.

The locks could not be queried for verification against a possible “If:” header. [500, #0]
Could not open the lock database. [500, #400]
(13)Permission denied: Could not open property database. [500, #1]

Apache Dokumentation htpasswd
Apache Dokumentation mod_dav
Apache Dokumentation mod_auth

So schreibt der HTML-Standard vor, dass Sonderzeichen, zu denen auch Umlaute zählen entsprechend maskiert werden.

Um ein umständliches Editieren aller Dateien zu vermeiden, kann auch der Zeichensatz von Apache auf die deutsche Version (Wikipedia) gestellt werden.

In der Datei /etc/apache2/apache2.conf wird eine Änderung vorgenommen:

<IfModule mod_mime.c>
# [...]
AddDefaultCharset ISO-8859-1

Apache-Kernfunktionen

Die Beschleunigung der auszuliefernden Seiten wird mit eAccelerator (Wikipedia) dadurch erreicht, das diese auf dem Server in einer bereits kompilierten Version gespeichert werden. Bei einem erneuten Aufruf der der gleichen Seite entfällt das wiederholte umwandeln durch PHP, da nun die Seite aus dem Zwischenspeicher geladen wird.

Zunächst müssen unter Debian einige notwendige Pakte installiert werden, passend zur PHP-Version.

apt-get install make bzip2 php5-dev

Die aktuelle Version von eAccelerator wird z.b. mit wget runtergeladen, entpackt, kompiliert und installiert:

tar jxvf eaccelerator-0.9.5.2.tar.bz2
cd eaccelerator-0.9.5.2
/usr/bin/phpize
./configure –enable-eaccelerator=shared –with-php-config=/usr/bin/php-config
make
make install

Jetzt wird PHP noch in der Datei /etc/php5/apache2/php.ini konfiguriert

; eaccelerator
extension=”eaccelerator.so”
eaccelerator.shm_size=”128″
eaccelerator.cache_dir=”/var/cache/eaccelerator”
eaccelerator.enable=”1″
eaccelerator.optimizer=”1″
eaccelerator.check_mtime=”1″
eaccelerator.debug=”0″
eaccelerator.filter=”"
eaccelerator.shm_max=”0″
eaccelerator.shm_ttl=”0″
eaccelerator.shm_prune_period=”0″
eaccelerator.shm_only=”0″
eaccelerator.compress=”1″
eaccelerator.compress_level=”9″
eaccelerator.allowed_admin_path=”/var/www/webserverpfad/htdocs/”

Das Verzeichnis für den Zwischenspeicher wird angelegt und die Steuer-Datei in das gewünscht Verzeichnis kopiert. Das Zugangsdaten sind dort natürlich noch zu ändern.

mkdir /var/cache/eaccelerator
cp control.php /var/www/webserverpfad/htdocs/eaccelerator.php

Von der einwandfreien Funktion kann man sich nun nach einen Serverneustart mit einem phpinfo(); und über einen Blick in die Steuer-Datei überzeugen.

Diese Ausgaben zu verhindern hat nichts mit mehr Sicherheit zu tun, jedoch teilt man so einem Freizeit-Hacker nicht gleich mit, für welche Version Sicherheitslücken gefunden werden können.

1. Versionsnummer von Apache im Header

Der aktuelle Zustand des Servers kann mit dem Firefox Add-on Live HTTP Headers überprüft werden:

Server: Apache/2.2.3 (Debian)

dies entspricht in der Datei /etc/apache2/apache2.conf der Einstellung:

ServerTokens Full

ganz vermeiden lässt sich diese Ausgabe leider nicht, jedoch kann mit der Einstellung

ServerTokens Prod

die Ausgabe aus minimalste reduziert werden. Angezeigt wird nun

Server: Apache

Mir gefällt hingegen die folgende Ausgabe am besten

ServerTokens Minimal

denn so wird nicht zu viel oder zuwenig an Informationen ausgegeben:

Server: Apache/2.2.3

zwischendrin muss man der Webserver natürlich immer wieder seine Konfigurationsdateien neu einlesen lassen, sonst bekommt dieser von der Änderung nichts mit:

apache2ctl graceful

2. Statusleiste von Apache

auf Übersichtsseite, auf welchen der Verzeichnisinhalt aufgelistet wird, steht unten drunter (abhängig von den oberen Einstellungen) folgendes:

Apache/2.2.3 Server at admirableadmin.de Port 80

auch dies lässt sich in der gleichen Datei /etc/apache2/apache2.conf mit

ServerSignature Off

ausstellen.

Apache-Kernfunktionen

Mit der Erweiterung mod_deflate können unter Apache2 bestehende HTML, Text oder XML Dateien auf bis zu 20 – 30 % ihrer ursprünglichen Größe komprimiert werden auf Kosten einer höheren CPU-Auslastung.

Unter Apache1 gibt es dazu die Erweiterung mod_gzip – hier wird jedoch nur die neuere Erweiterung mod_deflate für Apache2 behandelt.

Standardmäßig ist unter Debian die Erweiterung mod_deflate bereits installiert und wartet nur darauf aktiviert zu werden:

a2enmod deflate

nun wird anschließend die Konfiguration von Apache neu geladen

apache2ctl graceful

fortan werden die MIME-Typen (Wikipedia) text/html, text/plain und text/xml (HTML-, Text- und XML-Dateien) komprimiert und im HTTP-Header steht nun:

Content-Encoding: gzip

ziemlich unspektakulär, oder? Okay, wir brauchen zumindest temporär zum testen eine Anzeige ob und wie gut die Komprimierung wirklich funktioniert. Dazu werden die folgenden Zeilen in der Konfigurationsdatei eines V-Hosts eingetragen:

<IfModule mod_deflate.c>
DeflateFilterNote Input instream
DeflateFilterNote Output outstream
DeflateFilterNote Ratio ratio
LogFormat ‘”%r” %{outstream}n/%{instream}n (%{ratio}n%%)’ deflate
CustomLog /var/log/apache2/vhostname_deflate_log deflate
</IfModule>

Nach dem Neuladen der Konfiguration wird in der neuen CustomLog-Datei als Beispiel folgende Zeile erscheinen:

“GET /info.php HTTP/1.1″ 13146/64834 (20%)

Man sieht das die Datei info.php angefordert und ausgeliefert wurde. Die originale Dateigröße betrug 64834 Bytes, aber wurde komprimiert auf 13146 Bytes oder 20% der Originalgröße. Dies ist ein sehr gutes Ergebnis und wenn ein Großteil der Webseite aus HTML-, Text- und XML-Dateien besteht, dann wird mod_deflate eine Menge Traffic einsparen. Für Besucher mit einer “schmalbandigen” Internetanbindung bedeutet dies, dass die Seite schneller geladen wird.

Apache Dokumentation mod_deflate

Die Ausgabe ist standardmäßig deaktiviert, da diese Information die Öffentlichkeit in der Regel nichts angehen.

Unter server-status werden Statusinformationen über den Server wie Performance, Belastung usw. ausgeliefert. server-info hingegen zeigt allgemeine Information zu den aktivierten Modulen an.

Die Pfade zu server-status und server-info sollten angepasst und nur einer bestimmten Domain evt. sogar localhost zugeordnet werden.

mod_status und mod_info müssen zuerst aktiviert werden um verwendet werden zu können:

a2enmod info status

Die Standardkonfiguration wird aus /etc/apache2/apache2.conf entnommen und abgeändert der gewünschten Domain zugeordnet. Dann muss noch der Zugriff gewährt werden mit

Allow from all

Somit darf jeder auf den Statusbericht zugreifen. Etwas sicherer ist es dies nur für bestimmte Provider oder localhost zu erlauben:

Allow from localhost

nach einem Neuladen der Konfiguration von Apache steht die Statusanzeige unter der gewählten Adresse zur Verfügung:

apache2ctl graceful

Apache Dokumentation mod_status
Apache Dokumentation mod_info

Google sieht dies aber als doppelten Inhalt (Deftly dealing with duplicate content) an, und bewertet somit die Seite entsprechend negativ. Um einen guten Pagerank zu erreichen, werden Internetpräsenzen unter dem wirtschaftlichen Aspekt des Search Engine Optimization (SEO) (Wikipedia) aufbereitet.

Also muss eine feste Hauptadresse definiert werden. Alle anderen Domains oder Subdomains leiten dann permanent (RedirectPermanent) auf diese Hauptadresse um.

Natürlich gibt es dazu ein fertiges WordPress-Plugin (no-www). Da diese Technik jedoch auch für andere Seiten interessant sein kann, ist es besser dies direkt in der Konfiguration von Apache festzulegen, so dass alle Anfragen auf die Haupdomain admirableadmin.de umgeleitet werden:

<VirtualHost *:80>
ServerName www.admirableadmin.de
Redirect permanent / http://admirableadmin.de
</VirtualHost>

Das Ergebnis lässt sich gut mit dem Firefox Add-on Live HTTP Headers überprüfen. Eine funktionierende Umleitung würde beim Zugriff auf die www Version der Internetseite oder eine andere zusätzliche Domain folgendes zurückgeben:

HTTP/1.x 301 Moved Permanently
Location: http://admirableadmin.de

Der Benutzer wird sofort umgeleitet auf die Hauptadresse und merkt kaum etwas von diesem Vorgang, wenn er nicht explizit darauf achtet.

Apache Dokumentation mod_alias