ISA seminární práce. Zadání č. 4 Konfigurace www serveru ISP

ISA seminární práce Zadání č. 4 Konfigurace www serveru ISP Martin Pražák xpraza03 11.11.2004

1. Obsah 1. Obsah... 1 2. Úvod... 2 3. Konfigurace DNS program BIND... 2 3.1. Konfigurační soubory... 2 3.2. Adresové záznamy... 3 3.3. Round-robin... 3 3.4. DNS shrnutí... 4 4. Konfigurace www serveru Apache 2... 4 4.1. Konfigurační soubory... 4 4.2. IP-based nastavení... 4 4.2.1. Nastavení s více démony... 4 4.2.2. Nastavení jednoho démona s několika virtuálními doménami... 4 4.3. Name-based nastavení... 5 4.4. Port-based nastavení... 5 4.5. Apache shrnutí... 6 5. Závěr... 6 6. Přílohy... 7 6.1. Konfigurační soubory DNS serveru Bind... 7 6.1.1. Soubor /etc/named.conf... 7 6.1.2. Soubor /var/named/pz/privat.game... 8 6.1.3. Soubor /var/named/pz/192.168.0... 9 6.2. Konfigurační soubory www serveru Apache... 10 6.2.1. Soubor /etc/httpd/httpd.conf... 10 7. Použitá literatura... 10 1

2. Úvod Internet je v dnešní době nejrychleji se rozvíjející informační médium vůbec. Mezi jednu z jeho hlavních součástí patří internetové stránky, což jsou soubory uložené na serverech, obsahující text napsaný v jazyce HTML a k nim náležející obrázky a další soubory, které si klient může zobrazit pomocí internetového prohlížeče ve svém počítači připojeném k internetu. Na takovém serveru musí běžet program zvaný web server, který takovou komunikaci zabezpečuje. Při prohlížení se také využívá služeb systému překladu jmen, tzn DNS, který výrazně zjednoduší přístup ke stránkám, protože díky němu není nutné si pamatovat číselné vyjádření adresy serveru, ale pomocí čtení distribuované databáze se jméno zadané do prohlížeče automaticky na takovou adresu přeloží. Systém však poskytuje i možnost, jak rovnoměrně rozložit zátěž mezi jednotlivé servery a také ušetřit IP adresy. Pomocí relativně jednoduchého mechanismu je možné na jedné IP adrese provozovat více www serverů s různými doménovými jmény (což umožnil protokol HTTP1.1, který v požadavku na vrácení souboru také oznamuje serveru, z jaké domény má soubor být) nebo naopak provozovat více serverů s různými adresami pro jednu doménu. V tomto textu naleznete informace o konfiguraci webového serveru Apache a programu Bind, zabezpečující překlad adres. Tyto programy jsou obvyklé na platformě Unix/Linux a jsou na internetu velmi často použité. Text se nezabývá kompletní konfigurací těchto programů, pouze nastavením spojeným s používáním virtuálních www serverů. Všechny cesty k souborům a obsahy souborů uvedené v dokumentu jsou standardní, ale mohou se případně lišit podle distribuce operačního systému, jeho konfigurace a verzí programů Bind a Apache. Veškerá konfigurace byla testována na distribuci Fedora Core 2 s programem Bind 9.2.3 a web serverem Apache 2. 3. Konfigurace DNS program BIND 3.1. Konfigurační soubory Hlavním konfiguračním souborem programu Bind je soubor /etc/named.conf, který obsahuje základní informace nutné pro překlad adres. Z našeho hlediska je z něj zajímavá pouze část obsahující údaje o naší doméně. options { directory "/var/named"; zone "mojedomena.cz" { type master; notify no; file "pz/mojedomena.cz"; Tyto údaje nám říkají, že tento server je hlavním nameserverem naší domény, a pokud se změní údaje, neposílá tyto změny dále (takže nemůže mít svůj slave server, který by kopíroval jeho data) a údaje o doméně jsou obsaženy v cestě /var/named a souboru /pz/mojedomena.cz. Každý z těchto údajů se samozřejmě dá změnit, ale je dobré udržovat určité konvence v názvech souborů a hlavně v cestách, ve kterých jsou tyto soubory uloženy. 2

Další soubor, který je třeba naplnit správnými údaji, je soubor /var/named/pz/mojedomena.cz. Ten bude obsahovat detailnější popis počítačů naší domény a také údaje o naší doméně a jejím správci. $TTL 3D @ IN SOA ns.mojedomena.cz. admin.mojedomena.cz. ( 199802151 ; serial 8H ; refresh 2H ; retry 4W ; expire 1D ) ; minimum ; NS ns ; nameserver MX mail.linux. Pro detailní popis všech položek musím zájemce odkázat například na DNS HOWTO, protože jejich popis není náplní tohoto dokumentu. Pro naše účely je zajímavá až druhá část souboru, která obsahuje názvy jednotlivých počítačů a jejich IP adresy. 3.2. Adresové záznamy Adresové záznamy jsou takzvané A, neboli adresové záznamy a CNAME, neboli kanonická jména (aliasy), které se používají při překladu doménového jména na adresu. ns A 192.168.0.1 news A 192.168.0.50 mail CNAME news Záznamy v tomto tvaru říkají, že počítač ns.mojedomena.cz má IP adresu 192.168.0.1, počítač news.mojedomena.cz má IP adresu 192.168.0.50 a počítač mail.mojedomena.cz je stejný počítač jako news.mojedomena.cz. Za každý název, který není ukončen tečkou, se automaticky doplní název domény. Pokud toto není žádoucí, je třeba název ukončit tečkou, což však v našem případě nemá smysl. Pro záznamy CNAME platí pravidlo, že se vždy musí odkazovat na jméno, které je definované záznamem A, jinak takový odkaz nebude správně pracovat. Samozřejmě je možné pro každé jméno definovat i další typy záznamů, jako například MX, který určuje emailovou adresu správce, ale těmi se v tomto textu nebudeme zabývat. Tímto způsobem je tedy možné pomocí záznamu CNAME definovat více názvů pro jednu IP adresu, což má pro naše použití smysl v tom, že takto můžeme nastavit, aby více názvů směřovalo na jeden fyzický www server. Otázkou, jak poznat jednotlivé požadavky na serveru od sebe, se budeme zabývat v další části textu. 3.3. Round-robin Druhou možností, o které jsme se v úvodu zmínili, je možnost provozovat jednu doménu na více serverech (tzv. round-robin neboli rotace záznamů). To má smysl, pokud je daná doména velmi vytížená a jeden stroj by nedokázal vyřídit všechny požadavky uživatelů. DNS server potom automaticky přiděluje při různých požadavcích různé adresy, čímž se jednotlivé požadavky rozdělí mezi několik serverů. Tato funkce se zabezpečí v konfiguračním souboru zóny jednoduchým způsobem: www A 192.168.0.100 www A 192.168.0.101 www A 192.168.0.102 3

3.4. DNS shrnutí V předchozím textu bylo velice jednoduše popsáno základní nastavení DNS serveru pro naše účely. Pro správnou funkci je ještě nutné vytvořit další zónový soubor, pro tento příklad 0.168.192.inaddr.arpa, přidat jeho zónu do souboru /tec/named.conf a naplnit ho záznamy typu PTR, která zabezpečí zpětný překlad IP adresy na doménové jméno, který vyžadují některé internetové služby. Například: 1 PTR ns.mojedomena.cz Informace uvedené v této kapitole nejsou a ani nemají být úplné, protože to není účelem tohoto dokumentu. Obsahují stručný návod na velice jednoduché nastavení DNS serveru, které je nutné dotvořit pomocí informací z jiných zdrojů. 4. Konfigurace www serveru Apache 2 4.1. Konfigurační soubory Hlavním konfiguračním souborem www serveru Apache (neboli démona httpd) je soubor /etc/httpd.conf, ve kterém je shrnuta většina nastavení. Dalším velice důležitým konfiguračním souborem je /etc/mime.types, který obsahuje popis podporovaných typů dokumentu a jejich přípony. Starší verze programu ještě obsahovaly konfigurační soubory access.conf a srm.conf, které v novějších verzích nahrazují direktivy ResourceConfig a AccessConfig v hlavním konfiguračním souboru. V tomto dokumentu se nebudeme zabývat kompletním nastavením Apache, ale jen jeho částí, která nastavuje virtuální domény a jejich chování. 4.2. IP-based nastavení Tento způsob nastavení předpokládá, že pro každý virtuální server je vytvořen pomocí programu ifconfig i virtuální síťový adaptér s vlastní IP adresou. To také znamená, že každý takovýto virtuální server se v podstatě bude chovat jako samostatný síťový počítač a bude možné se na něj odkázat i pomocí přímého zadání IP adresy do prohlížeče. Samozřejmě je nutné pro každou adresu vytvořit záznam v DNS, aby byl server adresovatelný i pomocí jména. Pro tento způsob je také možné použít dva způsoby nastavení. První předpokládá běh vlastního httpd démona pro každý virtuální adaptér, druhý způsob umožňuje ošetření více domén pomocí jedné instance http démona. 4.2.1. Nastavení s více démony Tento způsob je založen na současném běhu více instancí démonu na jednom počítači. Předpokladem tedy je, že každý démon je nezávislá instalace httpd a má vlastní konfigurační soubor httpd.conf. Pro nastavení, na jakém adaptéru mají jednotlivé démony naslouchat, slouží direktiva Listen. Popř. Listen www.mojedomena.cz Listen 195.146.102.189 Každá instance tedy bude zpracovávat požadavky na své doménové jméno a bude zcela nezávislá na ostatních instancích. Tento způsob má výhodu v tom, že je možné každou instanci spustit pod vlastním uživatelským účtem s vlastním nastavením přístupových práv, aby nemohlo docházet k zásahům do údajů mezi jednotlivými weby. Nevýhodou samozřejmě je větší časová i paměťová náročnost běhu více instancí zároveň. 4.2.2. Nastavení jednoho démona s několika virtuálními doménami V tomto případě bude jedna instance démona httpd obsluhovat požadavky pro více virtuálních domén zároveň. Již není třeba více konfiguračních souborů, vše se vyřeší v souboru httpd.conf pomocí 4

direktivy VirtualHost. Nevýhodou tohoto přístupu je, že démon musí mít práva přístupu do všech adresářů s dokumenty virtuálních domén zároveň, a je tedy možné (v případě špatně napsaných skriptů) ovlivnit data z jiné domény, než kterou právě uživatel prohlíží. <VirtualHost www.mojedomena.cz> DocumentRoot /www/mojedomena ServerName www.mojedomena.cz ServerAlias mojedomena.cz <VirtualHost www.mojeprace.cz> DocumentRoot /www/mojeprace ServerName www.mojeprace.cz ErrorLog /www/mojeprace/logs/error_log TransferLog /www/mojeprace/logs/access_log Nastavení virtuální domény musí obsahovat název domény, popř. IP adresu, které konfigurace náleží, direktivu ServerName obsahující název serveru a direktivu DocumentRoot, která obsahuje cestu k adresáři se soubory web serveru. Důležitá direktiva ServerAlias umožňuje definovat více jmen pro jeden virtuální server. Sekce může dále obsahovat většinu dalších konfiguračnch direktiv, které Apache podporuje. Přesnější výpis viz dokumentace Apache. 4.3. Name-based nastavení Tento způsob nastavení předpokládá obsluhu více domén pomocí jedné instance httpd s tím, že všechny tyto domény jsou v systému DNS nastaveny tak, že ukazují na jednu IP adresu. Reverzní záznam samozřejmě musí být jen jeden a musí ukazovat na hlavní server. Způsob vyhodnocení tohoto dotazu je založen na protokolu HTTP/1.1, který v hlavičce dotazu na stránku odesílá i název serveru, po kterém tuto stránku požaduje. Z tohoto důvodu je možné rozeznat od sebe i servery, které fyzicky běží na jedné IP adrese. Tím však nastává problém se starými klienty pracujícími pouze na protokolu HTTP/1.0, který takovouto infomaci nepředává. Takové klientské programy jsou však již v dnešní době spíše výjimkou, proto se s jejich použitím téměř nepočítá. Nastavení virtuálního serveru se vytvoří pomocí direktivy VirtualHost v souboru httpd.conf následujícím způsobem: NameVirtualHost 195.146.102.189 <VirtualHost 195.146.102.189> ServerName www.mojedomena.cz DocumentRoot /www/mojedomena <VirtualHost 195.146.102.189> ServerName www.mojeprace.cz DocumentRoot /www/mojeprace Za znak * si server automaticky dosadí vlastní IP adresu. Při vyhledávání konfigurace, která se má použít pro odpověď na zpracovávaný dotaz server postupuje odspodu konfiguračního souboru nahoru, pokud nenajde správnou konfiguraci, použije poslední načtený záznam, což bude záznam nejvýše v souboru. Tento záznam tedy bude použit vždy, pokud na server přistoupíme přímo pomocí IP adresy, nebo pomocí klienta s HTTP/1.0. Stejně jako v předchozím případě můžou záznamy obsahovat téměř všechny ostatní direktivy, které Apache podporuje. (viz dokumentace Apache) 4.4. Port-based nastavení Tento způsob nastavení již není jednoduchým způsobem přístupný pomocí doménového jména, ale je to způsob, jak rozběhnout více serverů na jednom stroji s jedním DNS záznamem. Adresování 5

jednotlivých virtuálních serverů se na klientském počítači provádí pomocí specifikace portu, na který má být http požadavek odeslán. Například zadáním adresy http://www.mojedomena.cz bude klient obsloužen serverem, který běží na standardním portu 80. Pokud však uživatel zadá do prohlížeče URL ve tvaru například http://www.mojedomena.cz:8080, bude obsloužen virtuálním serverem nastaveným tak, aby poslouchal na portu 8080. Konfigurační soubor by v tomto případě mohl vypadat takto: Listen 80 Listen 8080 ServerName www.mojedomena.cz DocumentRoot /www/mojedomena <VirtualHost 195.146.102.189:8080> DocumentRoot /www/mojeprace Server s touto konfigurací při požadavku na http://www.mojedomena.cz předá soubory z adresáře /www/mojedomena a při požadavku na port 8080 (http://www.mojedomena.cz:8080) předá soubory z adresáře /www/mojeprace. Tento způsob nastavení je samozřejmě možné provozovat i s více běžícími démony zároveň jednoduše tak, že do direktivy Listen se kromě názvu domény zadá i číslo portu, na kterém má daná instance naslouchat. Pokud chceme zajistit například chybovým hlášením ve formátu HTML, že byl odeslán požadavek na neobsloužený port nebo na adresu (virtuálního) adaptéru, na kterém neběží žádná instance httpd démonu, je možné použít klíčové slovo _default_. Konfigurace takového virtuálního serveru vypadá například následovně: <VirtualHost _default_:*> DocumentRoot /www/default Všechny HTTP požadavky, které přijdou na libovolný port a libovolné rozhraní stroje, na němž běží takto nastavený Apache, a které nesplní požadavky pro získání stránky z jiného nastaveného virtuálního serveru, obdrží jako odpověď soubory z adresáře /www/default. 4.5. Apache shrnutí Protože je konfigurace serveru Apache velice bohatá, tento dokument nemůže popsat všechny možnosti jeho nastavení. Popisuje velkou část z nastavení virtuálních domén serveru, ale v žádném případě není možné v jednom dokumentu popsat všechny možné kombinace konfigurací, které se dají vytvořit. Reálné konfigurace ISP totiž používají kombinace postupů použitých výše, aby zabezpečily co možná nejoptimálnější využívání svých zdrojů s ohledem na nároky zákazníka a zachování přijatelné úrovně zabezpečení svých serverů. 5. Závěr Konfigurace DNS a webového serveru je mezi sebou velmi úzce spjatá a stejně to zřejmě bude i s konfigurací emailového serveru, kterou jsem se v této práci nezabýval. Dokument obsahuje základní údaje nutné pro konfiguraci webového serveru Apache s více doménami, spolu s konfigurací systému DNS v programu Bind, avšak v žádném případě nepopisuje všechny možnosti nastavení těchto systémů, protože je to nad rámec možností tohoto krátkého textu. Všechna zde uvedená nastavení jsem testoval na svém počítači se systémem Fedora Core 2 a se základní konfigurací z distribučních balíčků. Příklady konfiguračních souborů v příloze jsou konfigurační soubory, které jsem používal pro testování správnosti tohoto textu. V žádném případě nepopisují reálně provozovatelný systém, protože jeho nastavení by muselo být mnohonásobně rozsáhlejší. 6

6. Přílohy 6.1. Konfigurační soubory DNS serveru Bind 6.1.1. Soubor /etc/named.conf options { directory "/var/named"; // protoze je server pouzivan jako DNS server naseho pripojeni k // internetu, je dobre, aby dotazy, na ktere nezna odpověď, // posilal dale DNS serveru naseho providera a tim urychlil // jejich zpracovani. forward first; forwarders { 212.80.76.20; // server Bind je mozne kontrolovat pomoci specialniho kontrolniho // programu RNDC. Ten se pripoji k bezicimu programu a umoznuje // s nim manipulovat za behu. Toto je nastaveni, odkud je mozne // server ovladat a jaky autorizacni klic je k tomu potrebny. controls { inet 127.0.0.1 allow { localhost; } keys { rndc_key; key "rndc_key" { /algorithm hmac-md5; secret "c3ryb25nigvub3vnacbmb3igysbtyw4gynv0ig1hzgugzm9yigegd29tyw4k"; // zakladni udaje nutne pro funkci DNS serveru. Tento soubor // obsahuje odkazy na svetove korenove nameservery. zone "." { type hint; file "root.hints"; // nastaveni pro reverzni DNS dotaz na lokalni pocitac. zone "0.0.127.in-addr.arpa" { type master; file "pz/127.0.0"; // odkaz na soubor obsahujici udaje o nasi (nesmyslne) testovaci // domene privat.game. Radek notify no rika serveru, ze nema // zmeny ve sve konfiguraci posilat svym podrazenym DNS serverum. zone "privat.game" { type master; notify no; file "pz/privat.game"; 7

// nastaveni pro zpracovani reverznich dotazu nasi domeny zone "0.168.192.in-addr.arpa" { type master; notify no; file "pz/192.168.0"; 6.1.2. Soubor /var/named/pz/privat.game $TTL 3D ; kazdy zonovy soubor musi obsahovat zaznam SOA, který obsahuje ů ; nazev primarniho serveru a dalsi duleyite udaje. Detailni popis ; viz manual programu Bind @ IN SOA ns.privat.game. hostmaster.privat.game. ( 199802151 ; serial 8H ; refresh 2H ; retry 4W ; expire 1D ) ; minimum ; NS ns ; Inet Address of nameserver MX 10 mail.privat.game. ; nasledujici sekce obsahuje A a CNAME zaznamy pouzite pro ; preklad adres. Pro zjednoduseni neobsahuje zadne dalsi zaznamy, ; jako napriklad MX, ktere by obsahovat mela. ; zaznam ukazujici na lokalni pocitac localhost A 127.0.0.1 ; odkazy na router se vsemi aliasy router A 192.168.0.1 ns CNAME router mail CNAME router www CNAME router www2 CNAME router ; pokusny zaznam typu round-robin. Ackoli vsechny tyto adresy jsou ; fyzicky jeden pocitac, simuluji vice pocitacu pomoci ; virtualnich adapteru. Puvodne mel kazdy virtualni adapter jiny ; DNS nazev, tato verze je zmenena pro test round-robinu. www3 A 192.168.0.100 www3 A 192.168.0.101 www3 A 192.168.0.102 ; ostatni uzivatele site lucinka A 192.168.0.2 fuco A 192.168.0.3 notebook A 192.168.0.7 mooner A 192.168.0.10 prager A 192.168.0.11 ; wifi access point wifi A 192.168.0.50 8

6.1.3. Soubor /var/named/pz/192.168.0 $TTL 3D ; zaznam SOA u reverzniho zonoveho souboru je stejny jako u ; puvodniho @ IN SOA ns.privat.game. hostmaster.privat.game. ( 199802151 ; serial 8H ; refresh 2H ; retry 4W ; expire 1D ) ; minimum ; NS ns ; Inet Address of nameserver MX 10 mail.privat.game. ; protoze reverzni zaznam muze byt jen jeden pro jednu IP, router, ; www a dalsi aliasy budou proste ukazovat na router 1 PTR router.privat.game. ; reverzni zaznamy pro dalsi ucastniky site 2 PTR lucinka.privat.game. 3 PTR fuco.privat.game. 7 PTR notebook.privat.game. 10 PTR mooner.privat.game. 11 PTR prager.privat.game. 50 PTR wifi.privat.game. ; reverzni zaznamy pro round-robin 100 PTR www3.privat.game. 101 PTR www3.privat.game. 102 PTR www3.privat.game. 9

6.2. Konfigurační soubory www serveru Apache 6.2.1. Soubor /etc/httpd/httpd.conf Protože je tento soubor velice rozsáhlý, uvádím zde jen jeho malou část, která se vztahuje ke konfiguraci virtuálních www serverů. Z důvodů zdlouhavé konfigurace jsem netestoval verze nastavení, které vyžadují více instancí běžících najednou. # name-based pokusne nastaveni NameVirtualHost 192.168.0.1 <VirtualHost 192.168.0.1> DocumentRoot /www/www ServerName www.privat.game ServerAlias router.privat.game <VirtualHost 192.168.0.1> DocumentRoot /www/www2 ServerName www2.privat.game # nastaveni ip-based pozdeji zmenene na test round-robin <VirtualHost 192.168.0.100> DocumentRoot /www/www3 ServerName www3.privat.game <VirtualHost 192.168.0.101> DocumentRoot /www/www3 ServerName www3.privat.game <VirtualHost 192.168.0.102> DocumentRoot /www/www3 ServerName www3.privat.game 7. Použitá literatura [1] Apache Virtual Host documentation - http://httpd.apache.org/docs/vhosts [2] Nicolai Langfeldt: DNS HOWTO - http://www.tldp.org/howto/dns-howto.html [3] Apache - virtualni servery - http://www.manualy.sk/server/apache_virtual.html 10