Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
-IFFI-
Vana Pingviin
Vana Pingviin


Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
finland.gif
postituspostitatud: 10.08.2013, 21:42  postituse pealkiri:  Kuidas keelata/eemaldada mod security?[LAHENDATUD]  

Oleks vaja see kuidagi serverist eemaldada või keelata. Googlest leitud juhendid olid siis kas liiga vanad või minule arusaamatud.

Üritasin lisada .htaccess faili võiamlusi...juhendites näidatud asukohti ei leidnud mina (olid vast liiga vanad juhendid).

Webminsi läks asi väga keeruliseks kuna seal neid RULES-eid nii palju...käsitsi ei jõua neid välja kõiki kommida.

Palusk siis lihtsat selget juhendit kuda see eemaldada/keelata...

Serveris debian wheezy




Viimati muutis -IFFI- 12.08.2013, 22:06; muudetud 1 kord
illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 11.08.2013, 07:10  postituse pealkiri:  (teema puudub)  

kuku uninstallima ja ongi läinud

_________________
https://www.inlink.ee

-IFFI-
Vana Pingviin
Vana Pingviin


Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
finland.gif
postituspostitatud: 11.08.2013, 07:21  postituse pealkiri:  (teema puudub)  

Kui ma oleks seda teadnud kuidas see käib siis ma poleks ka küsinud siin ju Very Happy




Viimati muutis -IFFI- 12.08.2013, 21:39; muudetud 1 kord
illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 11.08.2013, 22:03  postituse pealkiri:  (teema puudub)  

a2dismod mod_security
apt-get remove --purge libapache-mod-security

ja ole valmis, et kui sa ennem konfifailidest korralikult ära ei koriustanud siis mingid vhostid võivad err 500 anda...

PS! ei maksaks kõike peale panna mis laias maailmas on, kui sellega hätta jäädakse. Katsetamine jah on väga hea ja ok aga niiöelda production systeemis katsetused, no ma ei tea...

_________________
https://www.inlink.ee



Viimati muutis illukas 13.08.2013, 07:11; muudetud 1 kord
-IFFI-
Vana Pingviin
Vana Pingviin


Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
finland.gif
postituspostitatud: 11.08.2013, 22:48  postituse pealkiri:  (teema puudub)  

Miskit jama ma tegin juba ennem selle päeval

lisasin siia faili lõppu /etc/apache2/sites-avaible/domain.com.vhost

siukese jubina
Kood:
<IfModule mod_security2.c>
     SecRuleEngine Off
</IfModule>


Fail ise selline nuid
Kood:
<Directory /var/www/domain.com>
      AllowOverride None
      Order Deny,Allow
      Deny from all
</Directory>

<VirtualHost *:80>
               DocumentRoot /var/www/domain.com/web
         
      ServerName domain.com
      ServerAlias domain.com
    ServerAlias *.domain.com
      ServerAdmin webmaster@localhost
      ErrorLog /var/log/ispconfig/httpd/domain.com/error.log

      Alias /error/ "/var/www/domain.com/web/error/"
      ErrorDocument 400 /error/400.html
      ErrorDocument 401 /error/401.html
      ErrorDocument 403 /error/403.html
      ErrorDocument 404 /error/404.html
      ErrorDocument 405 /error/405.html
      ErrorDocument 500 /error/500.html
      ErrorDocument 502 /error/502.html
      ErrorDocument 503 /error/503.html

      <IfModule mod_ssl.c>
      </IfModule>

      <Directory /var/www/domain.com/web>
            Options FollowSymLinks
            AllowOverride All
            Order allow,deny
            Allow from all

            # ssi enabled
            AddType text/html .shtml
            AddOutputFilter INCLUDES .shtml
            Options +Includes
      </Directory>
      <Directory /var/www/clients/client4/web4/web>
            Options FollowSymLinks
            AllowOverride All
            Order allow,deny
            Allow from all

            # ssi enabled
            AddType text/html .shtml
            AddOutputFilter INCLUDES .shtml
            Options +Includes
      </Directory>

      <IfModule mod_ruby.c>
         <Directory /var/www/domain.com/web>
            Options +ExecCGI
         </Directory>
         RubyRequire apache/ruby-run
         #RubySafeLevel 0
         AddType text/html .rb
         AddType text/html .rbx
         <Files *.rb>
            SetHandler ruby-object
            RubyHandler Apache::RubyRun.instance
         </Files>
         <Files *.rbx>
            SetHandler ruby-object
            RubyHandler Apache::RubyRun.instance
         </Files>
      </IfModule>

      <IfModule mod_perl.c>
         PerlModule ModPerl::Registry
         PerlModule Apache2::Reload
         <Directory /var/www/domain.com/web>
            PerlResponseHandler ModPerl::Registry
            PerlOptions +ParseHeaders
            Options +ExecCGI
         </Directory>
            <Files *.pl>
            SetHandler perl-script
            </Files>
      </IfModule>

      <IfModule mod_python.c>
         <Directory /var/www/domain.com/web>
            AddHandler mod_python .py
            PythonHandler mod_python.publisher
            PythonDebug On
         </Directory>
      </IfModule>

      # cgi enabled
   <Directory /var/www/clients/client4/web4/cgi-bin>
         Order allow,deny
         Allow from all
      </Directory>
      ScriptAlias  /cgi-bin/ /var/www/clients/client4/web4/cgi-bin/
      AddHandler cgi-script .cgi
      AddHandler cgi-script .pl
      # suexec enabled
      <IfModule mod_suexec.c>
         SuexecUserGroup web4 client4
      </IfModule>
      # Clear PHP settings of this website
      <FilesMatch "\.ph(p3?|tml)$">
            SetHandler None
      </FilesMatch>
      # php as fast-cgi enabled
   # For config options see: http://httpd.apache.org/mod_fcgid/mod/mod_fcgid.html
      <IfModule mod_fcgid.c>
            FcgidIdleTimeout 300
            FcgidProcessLifeTime 3600
            # FcgidMaxProcesses 1000
            FcgidMaxRequestsPerProcess 5000
            FcgidMinProcessesPerClass 0
            FcgidMaxProcessesPerClass 100
            FcgidConnectTimeout 3
            FcgidIOTimeout 360
            FcgidBusyTimeout 3600
            FcgidMaxRequestLen 1073741824
      </IfModule>
      <Directory /var/www/domain.com/web>
            AddHandler fcgid-script .php .php3 .php4 .php5
            FCGIWrapper /var/www/php-fcgi-scripts/web4/.php-fcgi-starter .php
            Options +ExecCGI
            AllowOverride All
            Order allow,deny
            Allow from all
      </Directory>
      <Directory /var/www/clients/client4/web4/web>
            AddHandler fcgid-script .php .php3 .php4 .php5
            FCGIWrapper /var/www/php-fcgi-scripts/web4/.php-fcgi-starter .php
            Options +ExecCGI
            AllowOverride All
            Order allow,deny
            Allow from all
      </Directory>


      # add support for apache mpm_itk
      <IfModule mpm_itk_module>
         AssignUserId web4 client4
      </IfModule>

      <IfModule mod_dav_fs.c>
      # Do not execute PHP files in webdav directory
         <Directory /var/www/clients/client4/web4/webdav>
            <ifModule mod_security2.c>
               SecRuleRemoveById 960015
               SecRuleRemoveById 960032
            </ifModule>
            <FilesMatch "\.ph(p3?|tml)$">
               SetHandler None
            </FilesMatch>
         </Directory>
         DavLockDB /var/www/clients/client4/web4/tmp/DavLock
         # DO NOT REMOVE THE COMMENTS!
         # IF YOU REMOVE THEM, WEBDAV WILL NOT WORK ANYMORE!
      # WEBDAV BEGIN
         # WEBDAV END
      </IfModule>
<IfModule mod_security2.c>
     SecRuleEngine Off
</IfModule>
</VirtualHost>


Kommenteerisin failis /etc/apache2/apache2.conf this line välja rea
Kood:

Include /etc/apache2/modsecurity-core-rules/*.conf


proovisin siis terminalis

Kood:
# apt-get remove --purge apt-get libapache-mod-security
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package apt-get

ja

# a2dismod mod_security
ERROR: Module mod_security does not exist!


Apachele ja serverile tehtud restart ei midagi....mõika
lähen aadressile http://domain.com error 403
aga http://domain.com/webmail ....asi on okei

Aru ma ei saa kuda mõned lehed töötavad ja mõned mitte. Osad klientide lehed on ültse 500 erroriga ja mõnes töötab HTML leht ilusti aga PHP ei....

see asi on vatsu mõistust Very Happy




Viimati muutis -IFFI- 12.08.2013, 21:37; muudetud 3 korda
sander85
Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 12.08.2013, 12:50  postituse pealkiri:  (teema puudub)  

See asi on kirjas logides.. Loe ja tegele probleem haaval..

_________________
Image Image Image

-IFFI-
Vana Pingviin
Vana Pingviin


Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
finland.gif
postituspostitatud: 12.08.2013, 22:03  postituse pealkiri:  (teema puudub)  

Selle probleemi tõstatasin veebilehtede 403 Forbidden ja 500 Internal Server Error põhjal.

Otsides probleemile vastust siit ja sealt internetist jõutsin juhendini kus öeldi, et MOD_SECURITY tuleb keelata või eemaldada ning see lahendab kõik probleemid....kuna ei leidnud ka vastust kusagilt netist kuda see käib siis sai ka siia pöördutud abi paluma.

Aga siin "kõvad-hititeglased" ei osanudgi muud tarka kosta kui aint kuku kustutama ja logisid lugema....mida ma neist logidest ikka loen kui neist aru ei saa või kustutan ja eemaldan. Selleks ma siia abi paluma tulengi...oskaks ma seda ja saaks aru siis ei paluks ka abi.

Aga nüüd teemasse ja kirjutan lahenduse kuidas 1 minutiga sain oma lehdetelt need errorid eemaldatud (loomulikult sellele eelnes mitu head päeva guugeldamist ja foorumite sirvimist ja postitamist)

Aga lahend selline, et terminali viska 3 järgnevat allolevat kirjet. Nendele mingit vastust ei tulegi.

esiteks pillu sinna see ja vajuta enter
Kood:

for L in /var/www/clients/client* ; do
   C=`basename $L` ;
   for K in /var/www/clients/$C/web* ; do
      if [[ -d "$K" ]] ; then
         D=`basename $K` ;
         chown -R ${D}:${C} $K ;
         chown -R root:root $K/log ;
         chown -R root:root $K/ssl ;
         chown -R root:root $K/web/stats ;
      fi ;
   done ;
done ;


juhul kui ei saanud tulemusi(veebilehtedel errorid ees ikka) siis on kaustadel kaitse peal ja viska see terminali ja pressi enter

Kood:

for L in /var/www/clients/client* ; do
   C=`basename $L` ;
   for K in /var/www/clients/$C/web* ; do
      if [[ -d "$K" ]] ; then
         D=`basename $K` ;
         chattr -i $K ;
         chown -R ${D}:${C} $K ;
         chown -R root:root $K/log ;
         chown -R root:root $K/ssl ;
         chown -R root:root $K/web/stats ;
         chattr +i $K ;
      fi ;
   done ;
done ;


siis veel see
Kood:

for L in /var/www/clients/client* ; do
   C=`basename $L` ;
   for K in /var/www/clients/$C/web* ; do
      if [[ -d "$K" ]] ; then
         D=`basename $K` ;
         chattr -i $K ;
         chown -R ${D}:${C} $K ;
         chown -R root:root $K/log ;
         chown -R root:root $K/ssl ;
         chown -R root:root $K/web/stats ;
         chattr +i $K ;
         chown -R ${D}:${C} /var/www/php-fcgi-scripts/$D ;
      fi ;
   done ;
done ;


ja kui kasutad ISPconfig-ut ning ei pääse ligi paneelile kuid muu sodi töötab siis korra pilla ka see sinna

Kood:

chown -R ispconfig:ispconfig /var/www/php-fcgi-scripts/ispconfig


Antud lahendus toimis minul Debian Wheezy serveris kus kliendi haldamiseks kasutusel vabavaraline ISPconfig-3.
Errorid suutsin ettepanna chown -R www-data /var/www käsuga. Eks siit läks lugu pikemaks ja segasemaks....

Sellise lahendi järgi sai siia tuldud...oma kroonilist mölapidamatust ma postitan teistesse sobivatesse kohdadesse ja logide lugemise asemel loen ma muud.
Käin siin ikka abi saamas mitte asjatult kasutuid poste lugemas. Kui ei suudeta adekvaatselt vastata siis pole ju ka mõtet postitada.

Paluks mitte võtta solvanguna seda, lihtsalt väike vahepala ja õpetuseks meile kõigile.


illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 13.08.2013, 07:07  postituse pealkiri:  (teema puudub)  

-IFFI- kirjutas:
Selle probleemi tõstatasin veebilehtede 403 Forbidden ja 500 Internal Server Error põhjal.
Need ongi kaks erinevat errorit, millest üks tuli valedest õigustest ja 500 antakse konfiguratsioonifaili vea põhjal, eeldan, et mod_security. Sulle soovitati, et tegele ühe probleemiga korraga aga sa tegelesid ikka mõlemaga segamini- muoidugi kaob järg ära millepärast miski on.

-IFFI- kirjutas:
Otsides probleemile vastust siit ja sealt internetist jõutsin juhendini kus öeldi, et MOD_SECURITY tuleb keelata või eemaldada ning see lahendab kõik probleemid....kuna ei leidnud ka vastust kusagilt netist kuda see käib siis sai ka siia pöördutud abi paluma.
Jah nii ongi, kui sa oled mod_security lisanud "tavapärasel" moel. Keelad mooduli, kommenteerid/eemaldad konfifailidest välja ja ted uninstalli. Mis sa nüüd tahad, et me oleksime selgeltnägijad ja teaksime mis keemia sa sinna kokku keeranud oled, et lahti sellest ei saanud...

-IFFI- kirjutas:
Sellise lahendi järgi sai siia tuldud...oma kroonilist mölapidamatust ma postitan teistesse sobivatesse kohdadesse ja logide lugemise asemel loen ma muud.
Käin siin ikka abi saamas mitte asjatult kasutuid poste lugemas. Kui ei suudeta adekvaatselt vastata siis pole ju ka mõtet postitada.

Ära minu mölapidamatuse kohapealt muretse, küll ma mujale ka postitan.... Kui sa logide lugemise asemel loed muud, miks sa siis serveriga tegelemise asemel muuga ei tegele? See on umbes, et ma tahan olla õudsalt tark aga näe õppida ei viitsi, pange keegi mulle kulbiga see mõistus pähe....
Sulle anti adekvaatseid vastuseid, sina ei viitsinud/ei tahtnud/ei osanud neid implementeerida- meie ei ole sellest süüdi...
Ei ole võimalik/otstarbekas võõra masina kohta kirjutada mod_security eemaldamiseks käsurida. KUI sa oleks lugenud ja uurinud selle kohta siis saaksid sa ise ka aru, et mod_security on suur ja paljude võimalustega ja TA TEKITAB vale konfimise puhul JAMASID siis sa ehk nii ei räuskaks. Mis sina tegid võtsin mod_security installisid ja jumal teab mis tegid live süsteemis ja siis tuled siia halama, et kui pahad kõik inimesed on kõik on nii lollid mind aidata ei oska, üldse on kõik mõtetu siin foorumis.

-IFFI- kirjutas:

Aga siin "kõvad-hititeglased" ei osanudgi muud tarka kosta kui aint kuku kustutama ja logisid lugema....mida ma neist logidest ikka loen kui neist aru ei saa või kustutan ja eemaldan. Selleks ma siia abi paluma tulengi...oskaks ma seda ja saaks aru siis ei paluks ka abi.
Kui sa logist aru ei saa siis ei oleks ehk viimane aeg ennast täiendada nii, et vähemalt logidest midagigi aru saaks... Nagu eelnevalt kirjutasin, siis mod_security eemaldamine just nii käibki nagu sulle soovitati.
Ära ole meie peale kuri kui sa oma asjadega hakkama ei saa.
Kui sa pakud teenust ja ei suuda logidest aru saada, siis ei maksa tulla foorumisse räuskama kui kõvad hitt-tegelased siin on vaid tellida see töö kelleltki sisse. Nii see äri on kui ise ei oska tellitakse see kusagilt mujalt ja sellise räuskamisega pigem näitad oma oskuste ja mõtlemise taset...

Ei võtnud sinu posti solvanguna vaid tekkis kummaline tunne kus inimene tuleb foorumist abi saamise asemel nõudma, et keegi foorumirahvast oleks selgeltnägija ja sinu korraldatud jama koristama tuleb ....

_________________
https://www.inlink.ee

-IFFI-
Vana Pingviin
Vana Pingviin


Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
finland.gif
postituspostitatud: 13.08.2013, 08:41  postituse pealkiri:  (teema puudub)  

Okei ja tore... Very Happy ei ma räuskagi vaid kirjutasin oma arvamuse/seisukoha. Tunnistan ka oma süüd, et jätsin viitamata teema loomise tegelikule põhjusele...
Oleks pidanud viitama/lisama selgituse mõttes lingi sellesse teemasse
https://pingviin.org/viewtopic.php?t=9602&highlight=

Oleks asi olnud kindlasti selgem ja vast poleks tekkinud sellist "pläusti" nagu nüüdseks on tekkinud...

Aga sellisel postitusel pole ju ka mõtet
Tsitaat:
kuku uninstallima ja ongi läinud
kui oleks teadnud kuda asi käib poleks ka küsinud. Oleks võinud ju vastata näiteks, et kommenteeri asjad välja näiteks a'la sellest faililist või lisa .htaccess faili selline rida või mida iganes analoogset.

Leitsin need varjandid ise lõpuks pikkade otsingute ja foorumite sirvimise peale.

Ma ültse ei hala, et kõik on hirmus pahad...loomulikult on kogu süü ikka minu kuna mina need ju tekkitan.

Tegemist pole ka otseselt valmis produktiga ehk teenuse pakkumisega. Tegemist siiski on ikka TEST masina ja produktiga, et tundma õppida selle käitumisi ning harida ennast selle teemal.
Nii loll ma ka pole, et hakkaks teenust sellises masinas pakkuma inimestele Razz

Aga oleme sõbrad kõik edasi ja ärme loobi teineteisi sopaga. Kõigil meil on omad arusaamad, nägemised, arvamused asjadest erinevalt ja need ei saagi ühtida alati.
Püüame edaspidi väljendada endid selgelt ja arusaadavalt kõigile. Loomulikult ei saa seda päris 100% garanteerida aga vähemasti üritaminegi on pool võitu. Very Happy


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group