lemmingzshadow.net » Linux

Lighttpd, mod_rewrite und die htaccess

Lemmingz Shadow — Sun, 30 May 2010 12:03:16 +0000

Eins der wohl häufigsten Probleme bei der Umstellung von Lighttpd auf Apache ist sicherlich die Migration der htaccess Dateien. Grund dafür ist, dass (zumindest bis vor kurzem) das mod_rewrite Modul des Lighttpd nicht prüfen konnte ob eine Datei existiert und die Rewrite-Regeln somit immer angewendet wurden. Dieses Problem konnte man durch die Verwendung von mod_magnet und LUA zwar umgehen allerdings müssen dann alle rewrite-Regeln in LUA neu geschrieben werden, was nicht immer ganz trivial ist.

Auch ich stand vor diesem Problem bis ich in der mod_rewrite Doku des Lighttpd folgedes entdeckte:

New: For the 1.4.x branch as of 1.4.24 or r2647 from svn:
Rewrites a set of URLs internally in the webserver BEFORE they are handled and checks that files do not exist.

Gute Nachrichten: Ab Version 1.4.24 des Lighty bietet das mod_rewrite Modul die Möglichkeit eine Rewrite-Regel erst anzuwenden nachdem geprüft wurde ob eine Datei existiert. Also genau das Feature was bisher fehlte.
Schlechte Nachricht: Die Lighty Version im stable Repository von Debian ist noch nicht aktuell genug.

Es ist gibt jedoch eine sehr elegante Möglichkeit unter Debian einzelne Pakte aus dem testing Repository zu installieren. Diese ist hier sehr schön beschrieben: Debian mit aktuelleren Paketen – stable und testing

Nachdem man so den Lighty auf eine aktuelle Version gebracht hat ist es relativ einfach htaccess Dateien des Apache zur Verwendung mit Lighttpd zu ändern.

Hier eine kurze Anleitung am Beispiel von WordPress und einem SEO-phpBB:

Zunächst das mod_rewrite Modul in der lighttpd.conf aktivieren:

server.modules              = (
            "mod_expire",
            "mod_access",
            "mod_alias",
            "mod_accesslog",
            "mod_compress",
            "mod_fastcgi",
            "mod_auth",
            "mod_rewrite",
)

Dann im entsprechenden Vhost eine Datei mit den Rewrite-Regeln einbinden:

$HTTP["host"] =~ "^(lemmingzshadow\.net|www\.lemmingzshadow\.net)$" {
    server.document-root = "/var/www/lemmingzshadow.net/"
    include "/var/www/lemmingzshadow.net/rewrite.conf"
}

Und so sehen Beispielsweise meine Rewrite-Regeln für dieses Blog aus:

url.rewrite-if-not-file = (	
	"(wp-.+).*/?" => "$0",	
	"^/(.+)/?$" => "/index.php/$1"
)

Man sieht direkt, dass die Syntax der einer htaccess Datei sehr ähnlich ist und man seine regulären Ausdrücke nahezu eins zu eins übernehmen kann. Wichtig ist das url.rewrite-if-not-file um wirklich nur dann die Url umzuschreiben wenn die aufgerufene Datei nicht existiert. Die erste Regel dient dazu alle wp-* Verzeichnisse nicht umzuschreiben. Die zweite leitet alle restlichen Anfragen auf die index.php um.

Am Beispiel eines phpBB mit SEO-Urls sieht das ganze z.B. so aus:

url.rewrite-if-not-file = ( 
  "/(.*)-f([0-9]*)/(.*)-t([0-9]*)-s([0-9]*).html"   => "/viewtopic.php?f=$2&t=$4&start=$5",
  "/(.*)-f([0-9]*)/(.*)-t([0-9]*).html"         => "/viewtopic.php?f=$2&t=$4",
  "/(.*)-f([0-9]*)/index-s([0-9]*).html"         => "/viewforum.php?f=$2&start=$3",
  "/(.*)-f([0-9]*)"                        => "/viewforum.php?f=$2",
  "/global/(.*)-t([0-9]*).html"           => "/viewtopic.php?f=1&t=$2"
)

Eine entsprechende htaccess Datei hätte so ausgesehen:

RewriteEngine on
RewriteBase /
 
RewriteRule ^(.*)-f([0-9]*)/(.*)-t([0-9]*)-s([0-9]*).html viewtopic.php?f=$2&t=$4&start=$5&%{QUERY_STRING} [L]
RewriteRule ^(.*)-f([0-9]*)/(.*)-t([0-9]*).html viewtopic.php?f=$2&t=$4&%{QUERY_STRING} [L]
RewriteRule ^(.*)-f([0-9]*)/index-s([0-9]*).html viewforum.php?f=$2&start=$3&%{QUERY_STRING} [L]
RewriteRule ^(.*)-f([0-9]*)/ viewforum.php?f=$2&%{QUERY_STRING} [L]
RewriteRule ^(.*)-f([0-9]*) viewforum.php?f=$2&%{QUERY_STRING} [L]

Auch hier können die regeln fast eins zu eins übernommen werden.
Noch ein wichtiger Hinweis zum Schluss: Um Änderungen an den Rewrite-Regeln zu übernehmen muss der Lighttpd neu gestartet werden!

Hoffentlich konnte ich mit diesem kurzem Beitrag dem ein oder anderen die Umstellung von Apache auf Lighttpd erleichtern.

Nachtrag vom 01.06.2010:
lifeofguenter stellte fest, dass das mod_rewrite Modul aktuell wohl nur im 1.4er Trunk entsprechend angepasst ist. Für die 1.5er Versionen des Lighttpd ist die Möglichkeit url.rewrite-if-not-file zu nutzen aktuell wohl noch nicht implementiert.

policyd-weight DNS-Blacklists anpassen

Lemmingz Shadow — Sun, 28 Sep 2008 10:10:32 +0000

Zum Schutz vor Spam-Emails verwende ich policyd-weight auf meinem Mailserver. Bei der Installation auf Debian Etch (via apt-get) war bei mir jedoch eine veraltete DNS-Blacklist in der config eingetragen. Bemerkbar machte sich das durch eine Error-Meldung in der policyd-weight Zeile des Mailheaders:

1	X-policyd-weight: DYN_NJABL=ERR NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_FROM_IP=-2 ...

Die Blacklisten und der entsprechende Score-Wert sind in der Datei /etc/policyd-weight.conf eingetragen. Dort einfacht die veraltete Liste dynablock.njabl.org durch eine gleichwertige aktuelle ersetzen. Ich habe mich für zen.spamhaus.org entschieden.

SVN Apache Modul und Vhosts

Lemmingz Shadow — Sun, 28 Sep 2008 08:55:23 +0000

Nach der Installation eines SVN-Servers und dem Apache Modul libapache2-svn auf meinem Debian-Etch System hatte ich ein kleines Problem mit der Default-Config auf welches ich hier kurz eingehen möchte.
Um ein Repository über http(s) erreichbar zu machen wird stardardmäßig die Datei /etc/apache2/mods-available/dav_svn.conf verwendet. Hier finden sich ein paar Zeilen welche in etwas so aussehen:


DAV svn   
SVNPath /var/svn/myproject   
AuthType Basic   
AuthName "Subversion Repository"   
AuthUserFile /etc/apache2/svn.passwd   
Require valid-user

Damit ist das Repository allerdings unter jeder Domain die auf dem Server läuft erreichbar. (domainname.tld/myproject_site).
Um das Repository nur unter einem Vhost erreichbar zu machen, etwa svn.domain.tld kann man die Zeilen aus der dav_svn.conf in die httpd.conf des Apaches verschieben. Das könnte beispielsweise so ausssehen:


        ServerName svn.domain.tld
        DocumentRoot "/var/www/svn.domain.tld/"
        
                DAV svn
                SVNPath /var/svn/myproject
                AuthType Basic
                AuthName "domain.tld Repository"
                AuthUserFile /etc/apache2/svn.passwd
                Require valid-user                
                AuthzSVNAccessFile /var/svn/myproject/conf/authz

Damit ist das Repository dann nur noch unter svn.domain.tld erreichbar.
Eine grundlegende Anleitung zum einrichten eines SVN-Server gibt es z.B. hier: Installing Subversion on Debian Etch Complete…

Nachtrag zum Postfix Logging (Logrotate)

Lemmingz Shadow — Sun, 28 Sep 2008 08:15:41 +0000

Hier habe ich ja bereits ein paar Worte zum Log-Verhalten von Postifx verloren, eine Kleinigkeit habe ich jedoch vergessen, und möchte Sie hiermit nachtragen.
Wenn man Postfix so anpasst, dass es nur noch in die Datei mail.log schreibt sollte man diese noch in das logrotate von Debian mit aufnehmen. Standardmäßig ist das nicht der Fall.
Damit die Datei mit in die täglich Log-Rotation aufgenommen wird kann man beispielsweise folgende Zeilen in der Date /etc/logrotate.conf ergänzen:

/var/log/mail.log {
    missingok
    daily
    rotate 7
    create
    compress
    start 0
}

Postfix Logging auf Debian Etch

Lemmingz Shadow — Tue, 15 Jul 2008 18:41:07 +0000

Kürzlich ist mir aufgefallen, dass der MTA Postfix nach der Default-Installation (via apt-get) auf einem Debian Etch System in verschiedene Dateien loggt. Es werden die Dateien mail.err, mail.info, mail.warn, mail.log und syslog benutzt. Das ist zwar etwas unübersichtlich aber erstmal nicht schlimm, würden nicht einige Informationen redundant gespeichert. Die Dateien mail.log, mail.info und syslog enthalten nahezu identische Logs bzgl. MTA und Mailserver.

Ich habe mein System nun so angepasst dass alle Logs von Postfix nur noch in der Datei mail.log gespeichert werden. Dazu müssen in der Datei /etc/syslog.conf einige kleinere Änderungen vorgenommen werden:

Zunächst eine Zeile die etwa so aussieht:

1	.;auth,authpriv.none -/var/log/syslog

ändern in:

1	.;auth,authpriv,mail.none -/var/log/syslog

Mit dieser Änderung erreicht man, dass keine Mail-Logs mehr im syslog auftauchen.

Mit dieser Zeile werden alle Mail-Logs in der Datei mail.log gespeichert:

1	mail.* -/var/log/mail.log

Dann habe ich noch diese 3 Zeilen auskommentiert, damit keine Informationen mehr in die Dateien mail.info, mail.err und mail.warn geschrieben werden:

1
2
3

#mail.info                      -/var/log/mail.info
#mail.warn                      -/var/log/mail.warn
#mail.err                       /var/log/mail.err

Abschließend muss der Syslog Deamon neu gestartet werden. Das geht mit folgendem Befehl:

1	/etc/init.d/sysklogd restart

Nun werden die Logs von Postfix nur noch in der Datei mail.log gespeichert.
Natürlich ist das nur eine von vielen Möglichkeiten das Logging zu konfigurieren, ich finde diese Lösung allerdings schön einfach und übersichtlich.

(Chrooted) SFTP mit MySecureShell

Lemmingz Shadow — Thu, 29 May 2008 15:21:40 +0000

Eine feine Möglichkeit auf einem Linux-Server SFTP-User anzulegen bietet das Tool MySecureShell. Nach der Installation und dem Anpassen einiger Parameter in der Config können neue SFTP-User einfach mit useradd über die Shell angelegt werden. Diese User sind dann im angegeben Home-Verzeichniss eingesperrt und haben keinen Shell-Zugriff.

Auf einem Debian-Etch System erfolgt die Installation wie folgt:

1 2	wget wget http://ovh.dl.sourceforge.net/sourceforge/mysecureshell/mysecureshell_[versionsnummer]_i386.deb dpkg -i mysecureshell_[versionsnummer]_i386.deb

Die Config-Datei ist sehr gut dokumentiert und funktioniert eigentlich sofort. Ich habe meine allerdings noch etwas angepasst:

Config-File im Editor öffnen:

1	nano /etc/ssh/sftp_config

und ein paar Parameter anpassen:

# Keine Speedlimits fuer SFTP
GlobalDownload		0
GlobalUpload			0
Download 			0
Upload 			0
 
# FTP-User im Home-Dir einsperren:
StayAtHome		true
VirtualChroot	true
 
#Gleichzeitige Verbindungen pro User etwas erhöhen
LimitConnection		10
LimitConnectionByUser	3
LimitConnectionByIP		3
 
# Wir wollen nicht das gleiche Home-Verzeichnis für alle User, daher wird diese Zeile auskommentiert:
#Home	/home/$USER
 
# Standard Dateirechte nach Bedarf anpassen:
DefaultRights		0664 0755

MySecureShell neu starten:

1	/etc/init.d/mysecureshell restart

Nun kann man z.b. einen User anlegen der per SFTP nur auf einen bestimmten Ordner im Web-Verzeichniss zugreifen kann:

1	useradd -d /var/www/ein_projekt -g www-data -s /bin/MySecureShell marvin

Eine weiteres ausführliches Tutorial zu MySecureShell findet sich unter anderem bei HowtoForge

AsteriskNOW mit HFC-S ISDN-Karte

Lemmingz Shadow — Tue, 20 May 2008 13:15:14 +0000

Ein kleiner Tipp für alle die Probleme haben eine ISDN-Karte mit HFC-S Chipsatz (wie etwa diese von Conrad) unter AsteriskNOW 1.0.2 ans laufen zu bekommen.
In meinem Fall hat Asterisk die Karte zwar erkannt (mISDN) aber sie funktionierte trotzdem nicht. Weder ein- noch ausgehende Anrufe waren möglich.
Grund dafür waren Fehler in der Datei /etc/misdn-init.conf

Abhilfe schaffte folgendes:

1
2
3

/etc/sbin/misdn-init scan
/etc/sbin/misdn-init config
/etc/sbin/misdn-init start

Diese drei Befehle schreiben die die misdn-init.conf neu und starten anschließend den Treiber.
Um die mISDN Treiber nach jedem Neustart automatisch zu laden habe ich den Befehl ausserdem in der Datei “/etc/rc.d/rc.local” ergänzt. Das sieht dann so aus:

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
 
touch /var/lock/subsys/local
/usr/sbin/misdn-init start