In questa guida vedremo come installare l’encoder ionCube per criptare le vostre pagine PHP su Debian Lenny.
La prima cosa da fare è scaricare l’archivio dal sito di riferimento:

wget http://downloads.ioncube.com/loader_downloads/ioncube_loaders_lin_x86.tar.gz

A questo punto possiamo scompattare l’archivio:

tar zxvf ioncube_loaders_lin_x86.tar.gz

Consiglio prima di proseguire, la lettura del README.txt, presente nella directory ioncube.
Spostiamo la directory appena scompattata in un percorso definitivo:

mv ioncube /usr/local/

Ora dobbiamo inserire nel php.ini il modulo di ionCube, in base alla versione di PHP installata:

vi /etc/php5/apache2/php.ini
zend_extension = /usr/local/ioncube/ioncube_loader_lin_5.2.so

Riavviamo apache:

/etc/init.d/apache2 stop
/etc/init.d/apache2 start

Infine nell’output del phpinfo troveremo:

with the ionCube PHP Loader v3.3.10, Copyright (c) 2002-2009, by ionCube Ltd.

1) Occorre disabilitare SELinux

setenforce 0

Editare il file /etc/selinux/config ed impostare SELINUX a ‘disable’

SELINUX=disabled

2) Installare mod_fcgid. Questo modulo  non e’ disponibile nel repository ufficiale di CentOS ma possiamo prelevarlo da un’altra fonte

cd /etc/yum.repos.d/
wget http://centos.karan.org/kbsingh-CentOS-Extras.repo

Editare /etc/yum.repos.d/kbsingh-CentOS-Extras.repo ed impostare gpgcheck a 0 ed enabled a 1 nella sezione [kbs-CentOS-Testing]:

[...]
[kbs-CentOS-Testing]
gpgcheck=0
enabled=1
[..]

Eseguire adesso questo comando

yum install mod_fcgid

4)
Commentare tutte le righe del file /etc/httpd/conf.d/php.conf (per evitare che il php venga caricato come modulo), anteponendo il carattere # ad inizio riga

5)
Adesso dovremo forzare il PHP a correggere il percorso del cgi in modo conforme alle specifiche PATH_INFO/PATH_TRANSLATED. Bastera’ aggiungere nel php.ini (/etc/php.ini) questa direttiva:

cgi.fix_pathinfo = 1

6) Creiamo l’utente con cui dovranno essere eseguiti gli script del sito

groupadd sito1
useradd -s /bin/false -d /var/www/sito1 -m -g web1 web1
chmod 755 /var/www/sito1

7) Creiamo la cartella che dovra’ ospitare i file del sito

mkdir -p /var/www/sito1/htdocs
chown sito1:sito1 /var/www/sito1/htdocs

Creiamo il wrapper che utilizzeremo per avviare il php e configurare mod-fcgid:

mkdir -p /var/www/fcgid-conf-sito1

9) Inseriamo queste righe nel file /var/www/fcgid-conf-sito1/sito1.conf

#!/bin/sh
export PHPRC=/etc/
export PHP_FCGI_MAX_REQUESTS=400
export PHP_FCGI_CHILDREN=2
exec /usr/bin/php-cgi

PHPRC,PHP_FCGI_MAX_REQUESTS e PHP_FCGI_CHILDREN sono opzionali e se verranno omessi sara’ impostato il valore di default. Sono utili per poter indicare il percorso del php.ini, permettendo cosi’ di utilizzare una configurazione diversa da sito a sito, oppure per definire il numero di child per processo ed il numero di richieste che puo’ gestire prima di terminare.

10) Impostiamo i corretti permessi/proprietario

chmod 755 /var/www/fcgid-conf-sito1/sito1.conf
chown -R sito1:sito1 /var/www/fcgid-conf-sito1

11) Creiamo in /etc/httpd/conf/httpd.conf la configurazione del sito

<VirtualHost *:80>
ServerName www.sito1.it
ServerAdmin postmaster@sito1.it
DocumentRoot /var/www/sito1/htdocs/

<IfModule mod_fcgid.c>
SuexecUserGroup sito1 sito1
PHP_Fix_Pathinfo_Enable 1
<Directory /var/www/sito1/htdocs/>
Options +ExecCGI
AllowOverride All
AddHandler fcgid-script .php
FCGIWrapper /var/www/fcgid-conf-sito1/sito1.conf .php
Order allow,deny
Allow from all
</Directory>
</IfModule>

# ErrorLog /var/log/apache2/error.log
# CustomLog /var/log/apache2/access.log combined
ServerSignature Off

</VirtualHost>

12) Salvare il file e riavviare il web server

/etc/init.d/httpd restart

Editiamo questo file, se non esiste possiamo crearlo:

vi /etc/apache2/conf.d/ssl.conf

SSLProtocol -All +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+EXPRestart

Ora possiamo riavviare il webserver:

/etc/init.d/apache2 restart

Per verificare che venga correttamente utilizzato SSLv3:

openssl s_client -connect localhost:443 -ssl3 -no_ssl2

Dovremmo ottenere qualcosa del genere:

—
SSL handshake has read 1464 bytes and written 317 bytes
—
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit

Per essere sicuri che il nostro server non accetti connessioni con il vecchio protocollo, possiamo forzare il comando openssl a connettersi con la versione 2:

openssl s_client -connect localhost:443 -ssl2 -no_ssl3

Questo messaggio d’errore ci assicura che il nostro webserver accetta solo connessioni SSLv3:

CONNECTED(00000003)
3374:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

Ecco come installarlo

In Debian:

apt-get update
apt-get install lighttpd php5-cgi

Con CentOS/Fedora:

yum install zlib pcre php-cli

rpm -Uhv http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/rpmforge-release-0.3.6-1.el5.rf.i386.rpm

yum install lighttpd lighttpd-fastcgi

/etc/init.d/lighttpd start

Eseguendo “ps ax” vedrete gia’ lighttpd in esecuzione:

www-data 11321  0.0  1.9  53616  1268 ?        S    19:17   0:00 /usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf

e collegandovi al server con un browser web visualizzerete la pagina di benvenuto (in CentOS/Fedora un messaggio di errore perche’ manca il file index del sito
La configurazione di default crea un sito con la document root in

/var/www/ (Debian)

/srv/www/lighttpd/ (CentOS/Fedora)

In CentOS/Fedora dobbiamo eseguire anche questo comando per far eseguire il servizio all’avvio del server


chkconfig –level 345 lighttpd on

Integriamo adesso l’interprete php.
Forziamo il PHP a correggere il percorso del cgi in modo conforme alle specifiche PATH_INFO/PATH_TRANSLATED editando /etc/php5/cgi/php.ini (in Debian)   e decommentando (togliendo il carattere ‘;’ da inizio riga) la direttiva “cgi.fix_pathinfo” ed impostando il suo valore a 1

cgi.fix_pathinfo=1

In CentOS invece apriamo il file /etc/php.ini e scriviamo  cgi.fix_pathinfo=1 come ultima riga

Adesso dobbiamo far caricare il modulo fastcgi a lighttpd.
Questa e’ la procedura Debian

Accediamo nella cartella “conf-enabled”

cd /etc/lighttpd/conf-enabled/

creiamo un link simbolico alla configurazione di mod_fastcgi

ln -s ../conf-available/10-fastcgi.conf

E’ necessario impostare alla direttiva “bin-path” presente nel file 10-fastcgi.conf il corretto percorso del binario php-cgi. Apriamo quindi il file e la riga “bin-path”  in questo modo

“bin-path” => “/usr/bin/php-cgi”,

N.B. Verificate che il file /usr/bin/php-cgi esista

Questa e’ la procedura per CentOS/Fedora

Apriamo il file  lighttpd.conf e decommentiamo il modulo  mod_fastcgi (in pratica dobbiamo togliere il carattere # ad inizio riga)

Poi aggiungiamo queste istruzioni a fine file:

fastcgi.server             = ( “.php” =>
( “localhost” =>
(
“socket” => “/tmp/php-fastcgi.socket”,
“bin-path” => “/usr/bin/php-cgi”
)
)
)

Riavviamo il serizio per convalidare le nuove impostazioni

/etc/init.d/lighttpd restart

Pubblicando questo file

/var/www/info.php (Debian)

/srv/www/lighttpd/info.php (CentOS/Fedora)

con questo contenuto

<?php
phpinfo();
?>

Avremo modo (accedendo con un browser web all’indirizzo www.tuosito.it/info.php) di visualizzare la configurazione del php installato.

Se sul server volessimo ospitare piu’ di un sito dovremo abilitare mod_evhost.

Andiamo a creare le cartelle dei siti

Debian:

mkdir -p /var/www/virtual_hosts/www.sito1.it/htdocs
mkdir -p /var/www/virtual_hosts/www.sito2.it/htdocs

CentOS/Fedora:

mkdir -p /srv/www/virtual_hosts/www.sito1.it/htdocs
mkdir -p /srv/www/virtual_hosts/www.sito2.it/htdocs

Creiamo una pagina di benvenuto per entrambi i domini

Debian:

echo “Benvenuto nel sito1″ > /var/www/virtual_hosts/www.sito1.it/htdocs/index.html
echo “Benvenuto nel sito2″ > /var/www/virtual_hosts/www.sito2.it/htdocs/index.html

CentOS/Fedora:

echo “Benvenuto nel sito1″ > /srv/www/virtual_hosts/www.sito1.it/htdocs/index.html
echo “Benvenuto nel sito2″ > /srv/www/virtual_hosts/www.sito2.it/htdocs/index.html

Ora editiamo la configurazione di lighttpd (/etc/lighttpd/lighttpd.conf).
Abilitiamo “mod_evhost” decommentando il modulo dal gruppo “server.modules”, bastera’ eliminare il carattere # ad inizio riga. In questo modo:

server.modules              = (
“mod_access”,
“mod_alias”,
“mod_accesslog”,
“mod_compress”,
#           “mod_rewrite”,
#           “mod_redirect”,
“mod_evhost”,
#           “mod_usertrack”,

Adesso a fine file possiamo aggiungere queste righe, ed impostare la document root dei siti

$HTTP["host"] == “www.sito1.it” {
evhost.path-pattern = “/var/www/virtual_hosts/www.sito1.it/htdocs/”
}

$HTTP["host"] == “www.sito2.it” {
evhost.path-pattern = “/var/www/virtual_hosts/www.sito2.it/htdocs/”
}

N.B. Adattate path-pattern con il percorso associato ai vostri siti.

Salviamo il file e riavviamo il servizio

/etc/init.d/lighttpd restart

Cliccando QUI accederete alla guida sull’installazione di proftpd in debian per poter aggiornare i siti via ftp

Quello che dobbiamo fare è creare un handler e dire ad apache di eseguire gli script python utilizzando il modulo cgi.

Verifichiamo prima che il modulo cgi sia caricato sul nostro apache:

a2enmod
Your choices are: actions alias asis auth_basic cgi ….
Which module(s) do you want to enable (wildcards ok)?

In questo modo vediamo i moduli caricati sul nostro server web, nel caso non fosse presente cgi per caricarlo:

a2enmod cgi

A questo punto possiamo decidere di configurare il nostro handler all’interno della configurazione del nostro Virtualhost oppure direttamente dentro un file .htaccess.

Per la configurazione all’interno del Virtualhost, dobbiamo inserire quanto segue nel file di configurazione:

vi /etc/apache2/sites-enabled/www.vostrosito.ext

AddHandler cgi-script .py

Se invece vogliamo eseguire gli script .py solo in alcune directory del nostro sito, possiamo creare un file .htaccess all’interno della directory interessata con il seguente contenuto:

vi /var/www/www.vostrosito.ext/htdocs/miadir/.htaccess

AddHandler cgi-script .py

In questo caso dobbiamo verificare che nella configurazione del nostro Virtualhost sia presente la direttiva che permette la lettura dei file .htaccess da parte del nostro webserver.

<Directory /var/www/www.vostrosito.ext/htdocs/>
AllowOverride All
<Directory>

A questo punto non ci resta che creare il file di test:

vi test.py
#!/usr/bin/python
print “Content-type: text/html”
print
print “<title>deec.it — Hello World</title>”
print “<h1>A First CGI Example</h1>”
print “<p>Hello World!</p>”

Per terminare l’operazione dobbiamo rendere il file di test eseguibile:

chmod 755 test.py

vi /var/www/vhosts/nomedominio.ext/conf/vhost.conf  (se non esiste createlo)

<Directory /var/www/vhosts/nomedominio.ext/httpdocs>

php_admin_flag engine on

php_admin_value open_basedir “/var/www/vhosts/nomedominio.ext/httpdocs:/nuovo/path”

</Directory>

/usr/local/psa/admin/sbin/websrvmng –reconfigure-vhost –vhost-name=nomedominio.ext

Questo articolo illustra come abilitare il protocollo https con il web server apache (versione 2.x).

La procedura e’ molto semplice ed e’ strutturata in questo modo:

• Creazione del certificato
• Installazione del modulo mod_ssl
• Configurazione del server web e quindi del sito

Vediamo nel dettaglio le varie fasi:

Per creare il certificato utilizzeremo l’applicazione openssl

Se state utilizzando una distribuzione linux  Debian/Ubuntu potrete installarla con questo comando

apt-get install openssl

Con Fedora/Centos invece si installa cosi’

yum install openssl

Se non disponete di un pacchetto precompilato potrete  compilare il sorgente di openssl.

Compilazione ed installazione vengono eseguiti nel modo ‘classico’

gunzip openssl-0.9.8k.tar.gz

tar xvf openssl-0.9.8k.tar

cd openssl-0.9.8k

sh ./config

make make test

make install

Dopodiche’ dovremmo creare il certificato. Ecco il comando:

openssl req -newkey rsa:1024 -x509 -nodes -days 365 -out /etc/apache2.pem -keyout /etc/apache2.pem

N.B. Nell’opzione days e’ specificato il valore 365 quindi il certificato sara’ valido per 1 anno

Occupiamoci ora del modulo ssl e configuriamo apache.

In Debian/Ubuntu il modulo ssl e’  installato di default e dovra’ essere solamente abilitato con

a2enmod ssl

Gli utenti che utilizzano Fedora invece per abilitarlo dovranno inserire nel file /etc/httpd/conf.d/ssl.conf questa direttiva

LoadModule ssl_module modules/mod_ssl.so

N.B. Se  mod_ssl non e’ installato, bastera’ digitare questo comando “yum install mod_ssl”

Il protocollo https accetta connessioni sulla porta 443 (a differenza di http che utilizza l’80).

Gli utenti Debian/Ubuntu dovranno aggiugere in /etc/apache2/ports.conf

Listen 443

Gli utenti Fedora invece dovranno scrivere la suddetta direttiva in /etc/httpd/conf.d/ssl.conf

Non rimane che configurare il VirtualHost

<VirtualHost www.deec.it:443>
DocumentRoot “/var/www/sito/htdocs”
ServerName www.deec.it

SSLEngine on

SSLCertificateFile /etc/apache2.pem

</VirtualHost>

N.B Cambiate il nome del virtualhost, del server e la documentroot del sito

e riavviare apache

/etc/init.d/httpd restart (Fedora)

/etc/init.d/apache2 restart (Debian e Ubuntu)

openssl-0.9.8k.tar.gz

Per il corretto funzionamento di Mod_python su Debian dovete installare il pacchetto libapache2-mod-python :

apt-get install libapache2-mod-python

caricare il modulo dentro apache se non è già stato caricato:

a2enmod python

Se volete avere maggiori informazioni sul modulo caricato aggiungete nel VirtualHost:

<Location /mpinfo>
SetHandler mod_python
PythonHandler mod_python.testhandler
</Location>

Se richiamate la seguente URL avrete tutte le informazioni sul modulo:

http://www.nomesito.ext/mpinfo

A questo punto dentro la home dir del sito create un file .htacces con il seguente contenuto:

SetHandler mod_python
PythonHandler mod_python.publisher
PythonDebug On

e la index.py:

def index(req):
return “Hello World!!!”

Per vedere il nostro Hello World:

http://www.nomesito.ext/

Per approfondimenti www.modpython.org.

1) Innanzitutto e’ necessario installare la suexec, il modulo fcgid ed il
php come cgi:

apt-get install apache2-suexec libapache2-mod-fcgid php5-cgi

2) Abilitiamo questi due moduli:

a2enmod suexec
a2enmod fcgid

3) Adesso dovremo forzare il PHP a correggere il percorso del cgi in modo conforme alle specifiche PATH_INFO/PATH_TRANSLATED. Bastera’ aggiungere nel php.ini (/etc/php5/cgi/php.ini) questa direttiva:

cgi.fix_pathinfo = 1

4)Andiamo a creare l’utente proprietario del sito:

adduser utente-sito

5) Creiamo le directory che conterra’ il sito web ed impostiamo su essa il
corretto proprietario:

mkdir -p /var/www/vhosts/sito1/htdocs
chown utente-sito:utente-sito /var/www/vhosts/sito1/htdocs

N.B. La suexec e’ precompilata per contenere i siti in /var/www
Potrete verificarlo eseguendo questo comando e leggendo il contenuto della
variabile AP_DOC_ROOT:
/usr/lib/apache2/suexec -V
Per modificarlo purtroppo dovrete ricompilare la suexec

6) Creiamo il wrapper che utilizzeremo per avviare il php e configurare mod-fcgid:

mkdir -p /var/www/fcgid-conf-sito1

Inseriamo nel file /var/www/fcgid-conf-sito1/sito1.conf questo:

#!/bin/sh
export PHPRC=/etc/php5/cgi
export PHP_FCGI_MAX_REQUESTS=400
export PHP_FCGI_CHILDREN=2
exec /usr/lib/cgi-bin/php

PHPRC,PHP_FCGI_MAX_REQUESTS e PHP_FCGI_CHILDREN sono opzionali e se verranno omessi sara’ impostato il valore di default. Sono utili per poter indicare il percorso del php.ini, permettendo cosi’ di utilizzare una configurazione diversa da sito a sito, oppure per definire il numero di child per processo ed il numero di richieste che puo’ gestire prima di terminare.

7) Impostiamo i permessi ed il corretto proprietario del wrapper:

chmod 755 /var/www/fcgid-conf-sito1/sito1.conf
chown -R utente-sito:utente-sito /var/www/fcgid-conf-sito1

8 ) Non ci rimane che inserire questo codice nella configurazione del sito:

<IfModule mod_fcgid.c>
SuexecUserGroup utente-sito utente-sito
PHP_Fix_Pathinfo_Enable 1
<Directory /var/www/vhosts/sito1/htdocs>
Options +ExecCGI
AllowOverride All
AddHandler fcgid-script .php
FCGIWrapper /var/www/fcgid-conf-sito1/sito1.conf .php
Order allow,deny
Allow from all
</Directory>
</IfModule>

9) Riavviamo il server web:

/etc/init.d/apache2 restart

Ecco come fare!

1) La password verra’ salvata in forma criptata in un file nel vostro sito.
Per generare la password criptata clicca qui

Inserisci la stringa ottenuta compilando il form online in un file chiamato .htpasswd posto nella cartella che vuoi proteggere.

N.B. Se avete accesso al server via ssh, potrete generare il file .htpasswd con questo comando:
htpasswd -c -d -b .htpasswd username password
Se dovete aggiungere piu’ utenti, omettete l’opzione ‘-c’

2) Sempre in quella directory adesso crea un file chiamato .htaccess e memorizza questo al suo interno:

AuthUserFile .htpasswd
AuthName “Area Protetta”
AuthType Basic
require valid-user

N.B. Se ricevere il messaggio di errore “Internal Server Error” inserite come prima riga anche la direttiva “AuthBasicProvider file”. Alcune volte inoltre (in base alla configurazione del server), e’ necessario specificare il percorso completo del file “.htpasswd” (ad es. /home/sito/htdocs/cartella_protetta/.htpasswd)