staging.inyokaproject.org

Frohe Ostern,

nachdem ich glücklicherweise den apache2 auf https:// umgestellt bekommen habe, läuft mein owncloud erst recht nicht mehr (hatte vorher auch Probleme). Habe ownloud vom alten Server inkl. Mysql DB auf den neuen ebenfalls lokalen VM-Server importiert. Seither habe ich Probleme damit. Das gibt mir die apache2 error.log Datei aus

[Sun Apr 12 09:49:45.538829 2020] [authz_core:error] [pid 20061] [client 192.168.1.130:42712] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 09:49:45.538974 2020] [authz_core:error] [pid 20061] [client 192.168.1.130:42712] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php

Edit:

oha das füllt sich

[Sun Apr 12 10:08:28.526280 2020] [mpm_prefork:notice] [pid 19841] AH00169: caught SIGTERM, shutting down
[Sun Apr 12 10:08:28.682747 2020] [ssl:warn] [pid 20212] AH01906: localhost:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Apr 12 10:08:28.682805 2020] [ssl:warn] [pid 20212] AH01909: localhost:443:0 server certificate does NOT include an ID which matches the server name
[Sun Apr 12 10:08:28.779498 2020] [ssl:warn] [pid 20217] AH01906: localhost:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Apr 12 10:08:28.779535 2020] [ssl:warn] [pid 20217] AH01909: localhost:443:0 server certificate does NOT include an ID which matches the server name
[Sun Apr 12 10:08:28.785448 2020] [mpm_prefork:notice] [pid 20217] AH00163: Apache/2.4.29 (Ubuntu) mod_fcgid/2.3.9 mpm-itk/2.4.7-04 OpenSSL/1.1.1 configured -- resuming normal operations
[Sun Apr 12 10:08:28.785485 2020] [core:notice] [pid 20217] AH00094: Command line: '/usr/sbin/apache2'
[Sun Apr 12 10:13:03.325729 2020] [mpm_prefork:notice] [pid 20217] AH00169: caught SIGTERM, shutting down
[Sun Apr 12 10:13:03.473752 2020] [ssl:warn] [pid 20438] AH01906: localhost:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Apr 12 10:13:03.473819 2020] [ssl:warn] [pid 20438] AH01909: localhost:443:0 server certificate does NOT include an ID which matches the server name
[Sun Apr 12 10:13:03.568651 2020] [ssl:warn] [pid 20446] AH01906: localhost:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Apr 12 10:13:03.568682 2020] [ssl:warn] [pid 20446] AH01909: localhost:443:0 server certificate does NOT include an ID which matches the server name
[Sun Apr 12 10:13:03.581693 2020] [mpm_prefork:notice] [pid 20446] AH00163: Apache/2.4.29 (Ubuntu) mod_fcgid/2.3.9 mpm-itk/2.4.7-04 OpenSSL/1.1.1 configured -- resuming normal operations
[Sun Apr 12 10:13:03.581726 2020] [core:notice] [pid 20446] AH00094: Command line: '/usr/sbin/apache2'
[Sun Apr 12 10:13:10.273023 2020] [authz_core:error] [pid 20478] [client 192.168.1.130:45872] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:13:10.273151 2020] [authz_core:error] [pid 20478] [client 192.168.1.130:45872] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:13:11.898653 2020] [authz_core:error] [pid 20479] [client 192.168.1.130:45874] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:13:11.898766 2020] [authz_core:error] [pid 20479] [client 192.168.1.130:45874] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:13:14.188080 2020] [authz_core:error] [pid 20481] [client 192.168.1.130:45882] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:13:14.188198 2020] [authz_core:error] [pid 20481] [client 192.168.1.130:45882] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:30:56.814145 2020] [mpm_prefork:notice] [pid 20446] AH00169: caught SIGTERM, shutting down
[Sun Apr 12 10:30:56.964094 2020] [ssl:warn] [pid 20731] AH01906: localhost:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Apr 12 10:30:56.964166 2020] [ssl:warn] [pid 20731] AH01909: localhost:443:0 server certificate does NOT include an ID which matches the server name
[Sun Apr 12 10:30:57.065540 2020] [ssl:warn] [pid 20737] AH01906: localhost:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Apr 12 10:30:57.065585 2020] [ssl:warn] [pid 20737] AH01909: localhost:443:0 server certificate does NOT include an ID which matches the server name
[Sun Apr 12 10:30:57.071491 2020] [mpm_prefork:notice] [pid 20737] AH00163: Apache/2.4.29 (Ubuntu) mod_fcgid/2.3.9 mpm-itk/2.4.7-04 OpenSSL/1.1.1 configured -- resuming normal operations
[Sun Apr 12 10:30:57.071523 2020] [core:notice] [pid 20737] AH00094: Command line: '/usr/sbin/apache2'
[Sun Apr 12 10:31:01.810442 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:31:01.810563 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:31:03.729372 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:31:03.729460 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:31:04.785499 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:31:04.785568 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:31:05.365409 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:31:05.365476 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:31:05.611540 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:31:05.611598 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:31:05.848761 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:31:05.848819 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:31:06.078926 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:31:06.078988 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:31:06.313984 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:31:06.314043 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:31:06.980726 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:31:06.981322 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:31:07.221213 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:31:07.221306 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:31:07.460877 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:31:07.460950 2020] [authz_core:error] [pid 20768] [client 192.168.1.130:48136] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:33:14.381583 2020] [mpm_prefork:notice] [pid 20737] AH00169: caught SIGTERM, shutting down
[Sun Apr 12 10:33:14.526593 2020] [ssl:warn] [pid 20869] AH01906: localhost:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Apr 12 10:33:14.526660 2020] [ssl:warn] [pid 20869] AH01909: localhost:443:0 server certificate does NOT include an ID which matches the server name
[Sun Apr 12 10:33:14.626456 2020] [ssl:warn] [pid 20873] AH01906: localhost:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Apr 12 10:33:14.626487 2020] [ssl:warn] [pid 20873] AH01909: localhost:443:0 server certificate does NOT include an ID which matches the server name
[Sun Apr 12 10:33:14.632322 2020] [mpm_prefork:notice] [pid 20873] AH00163: Apache/2.4.29 (Ubuntu) mod_fcgid/2.3.9 mpm-itk/2.4.7-04 OpenSSL/1.1.1 configured -- resuming normal operations
[Sun Apr 12 10:33:14.632354 2020] [core:notice] [pid 20873] AH00094: Command line: '/usr/sbin/apache2'
[Sun Apr 12 10:33:18.144882 2020] [authz_core:error] [pid 20904] [client 192.168.1.130:48432] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:33:18.145002 2020] [authz_core:error] [pid 20904] [client 192.168.1.130:48432] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:33:21.275866 2020] [authz_core:error] [pid 20906] [client 192.168.1.130:48440] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:33:21.275988 2020] [authz_core:error] [pid 20906] [client 192.168.1.130:48440] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:33:21.369142 2020] [authz_core:error] [pid 20906] [client 192.168.1.130:48440] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/favicon.ico
[Sun Apr 12 10:33:21.369207 2020] [authz_core:error] [pid 20906] [client 192.168.1.130:48440] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php
[Sun Apr 12 10:38:09.438216 2020] [authz_core:error] [pid 20933] [client 192.168.1.130:49026] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/
[Sun Apr 12 10:38:09.438353 2020] [authz_core:error] [pid 20933] [client 192.168.1.130:49026] AH01630: client denied by server configuration: /home/kivi/www/owncloud/web/core/templates/403.php

Hallo dvdm,

bitte teile uns deine Apache-Konfiguration mit. Hier vor allem die Teile, die mit SSL und der Bereitstellung deiner OwnCloud-Instanz zu tun haben.

Zusätzlich könntest du schonmal nach Directory-Direktiven schauen und überprüfen, ob die für das OwnCloud-Verzeichnis relevanten den Zugriff überhaupt zulassen. Hier ein Ausschnitt als Beispiel:

<Directory />
    AllowOverride none
    Require all denied
</Directory>

<Directory /Path/To/Somewhere/>
    AllowOverride none
    Require all granted
</Directory>

Direktive eins verbietet den Zugriff auf das root-Verzeichnis deines Systems (bitte nicht ändern, falls du das bei dir auch hast), während die zweite Direktive den Zugriff auf Pfade beginnend mit /Path/To/Somewhere von allen Clients aus erlaubt. Die relevanten Seiten in der Apache-Dokumentation: Directory, Require.

Abgesehen davon sagt dein Log, dass du im Bereich SSL/TLS noch aufräumen musst. Du benutzt beispielsweise ein CA-Zertifikat für die Serverauthentisierung, was spätestens mit der Aufnahme des Regelbetriebs nicht mehr passieren sollte. Darüber hinaus stimmen FQDN vom Server und vom Zertifikat nicht überein, was in etwa zum gleichen Zeitpunkt aufhören sollte wie die Nutzung eines CA-Zertifikats.

Und dass sich die Meldungen häufen, ist nicht weiter überraschend: Bei jedem Zugriff auf den Server versucht dieser wiederum auf das OwnCloud-Verzeichnis zuzugreifen. Also effektiv jedes Mal, wenn du z.B. F5 zum Aktualisieren drückst.

Hallo Cranvil,

gar nicht so einfach, aber ok fange mit der Übersicht an

$ ls -l /etc/apache2/sites-available/
total 36
-rw-r--r-- 1 root root 1542 Apr 12 10:12 000-default.conf
-rw-r--r-- 1 root root 1332 Jul 16  2019 000-default.conf~
-rw-r--r-- 1 root root 1272 Apr 12 10:29 default-ssl.conf
-rw-r--r-- 1 root root 6338 Jul 16  2019 default-ssl.conf~
-rw-r--r-- 1 root root  631 Apr  9 22:29 kivitendo.conf
-rw-r--r-- 1 root root  691 Apr 12 10:32 owncloud.conf
-rw-r--r-- 1 root root  720 Apr 12 10:30 owncloud.conf~
-rw-r--r-- 1 root root  612 Apr 12 10:30 ssl.conf

$ sudo cat /etc/apache2/sites-available/000-default.conf
<VirtualHost *:80>
        #ServerName www.example.com

        ServerAdmin webmaster@localhost
        DocumentRoot /var/www
        DocumentRoot /home/kivi/www/kivitendo/kivitendo-erp
        DocumentRoot /home/kivi/www/owncloud/web

        RewriteEngine on
        RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]

        #LogLevel info ssl:warn

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        #Include conf-available/serve-cgi-bin.conf
</VirtualHost>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

$ sudo cat /etc/apache2/sites-available/default-ssl.conf
<IfModule mod_ssl.c>
        <VirtualHost _default_:443>
                ServerAdmin webmaster@localhost

                DocumentRoot /var/www/html
                DocumentRoot /home/kivi/www/kivitendo/kivitendo-erp
                DocumentRoot /home/kivi/www/owncloud/web

                #LogLevel info ssl:warn

                ErrorLog ${APACHE_LOG_DIR}/error.log
                CustomLog ${APACHE_LOG_DIR}/access.log combined

                #Include conf-available/serve-cgi-bin.conf

                #   SSL Engine Switch:
                #   Enable/Disable SSL for this virtual host.
                SSLEngine on

                #   SSLCertificateFile directive is needed.
                SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem
                SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

                #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt

                #SSLCACertificatePath /etc/ssl/certs/
                #SSLCACertificateFile /etc/apache2/ssl.crt/ca-bundle.crt

                #SSLCARevocationPath /etc/apache2/ssl.crl/
                #SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl

                #SSLVerifyClient require
                #SSLVerifyDepth  10

                #SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
                <FilesMatch "\.(cgi|shtml|phtml|php)$">
                                SSLOptions +StdEnvVars
                </FilesMatch>
                <Directory /usr/lib/cgi-bin>
                                SSLOptions +StdEnvVars
                </Directory>

        </VirtualHost>
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

$ sudo cat /etc/apache2/sites-available/ssl.conf 
<VirtualHost *:443>
  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/apache.crt
  SSLCertificateKeyFile /etc/ssl/private/apache.key
    
  #<IfModule mod_ssl.c>
    SSLProtocol all -SSLv2 -SSLv3
    SSLCompression Off
    SSLHonorCipherOrder on 
    SSLCipherSuite "EECDH+AESGCM EDH+AESGCM !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
  #</IfModule>
  # Pfad zu den Webinhalten
  DocumentRoot /var/www/
  DocumentRoot /home/kivi/www/kivitendo/kivitendo-erp
  DocumentRoot /home/kivi/www/owncloud/web
  <Directory /kome/kivi/www>
    Order allow,deny
    Allow from all
  </Directory>
</VirtualHost>


Alias /owncloud "/home/kivi/www/owncloud/web"

<Directory /home/kivi/www/owncloud/web>
  Options +FollowSymlinks
  #Require all granted 
  AllowOverride All
  #Order deny,allow
  #allow from all

  <IfModule mod_dav.c>
    Dav off
  </IfModule>
  #<IfModule mpm_itk_module>
    #AssignUserId kivi kivi
  #</IfModule>

  SetEnv HOME /home//kivi/www/owncloud/web
  SetEnv HTTP_HOME /home/kivi/www/owncloud/web
</Directory>

<VirtualHost *:80>
  #ServerName localhost
  ServerAlias owncloud
  ServerAdmin webmaster@localhost
  DocumentRoot /home/kivi/www/owncloud/web
  ErrorLog /home/kivi/www/logs/owncloud/error.log
  CustomLog /home/kivi/www/logs/owncloud/access.log combined
</VirtualHost>

Wobei ich die default-ssl-conf ap2disites habe, da ich die ssl.conf nutze. Aufräumen ok, aber wie. Bei FQDN werde ich auch Hilfe brauchen, bin gerade mal froh das es unter https://, zumindest außer owncloud läuft.

Das sind eindeutig zu wenig neue Informationen.

Eine Bitte: Bewerfe uns mit so vielen Details wie du nur zusammentragen kannst. Wir filtern lieber die überschüssigen Informationen aus einem Dutzend einkopierter Konfigurationsdateien heraus, als dass wir das Spiel "20 Fragen" spielen müssen und bei der 387. Frage immernoch nicht die geringste Ahnung haben, was bei dir Phase ist. 😉

Also: Schau nach, welche Seiten in site-enabled aktiviert sind, kopier sie hier rein und anonymisiere sie bedarfsgerecht. Beim Anonymisieren darauf achten, dass zumindest der interne Zusammenhang der Details noch passt. Gerade im Bereich IP-Adressen kommt es gern vor, dass durch das (eigentlich unnötige) Anonymisieren privater IP-Adressen Fehler in der Netzwerkkonfiguration verdeckt werden. Letzteres ist hier jedoch voraussichtlich kein Thema.

Ok anbei

$ sudo ls -l /etc/apache2/sites-enabled/
total 0
lrwxrwxrwx 1 root root 35 Apr  7 15:57 000-default.conf -> ../sites-available/000-default.conf
lrwxrwxrwx 1 root root 33 Apr  8 16:33 kivitendo.conf -> ../sites-available/kivitendo.conf
lrwxrwxrwx 1 root root 32 Apr 10 13:25 owncloud.conf -> ../sites-available/owncloud.conf
lrwxrwxrwx 1 root root 27 Apr 10 19:44 ssl.conf -> ../sites-available/ssl.conf

/sites-enabled/000-default.conf

$ sudo cat /etc/apache2/sites-enabled/000-default.conf 
<VirtualHost *:80>
        #ServerName www.example.com

        ServerAdmin webmaster@localhost
        DocumentRoot /var/www
        DocumentRoot /home/kivi/www/kivitendo/kivitendo-erp
        DocumentRoot /home/kivi/www/owncloud/web

        RewriteEngine on
        RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]

        #LogLevel info ssl:warn

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        #Include conf-available/serve-cgi-bin.conf
</VirtualHost>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

/etc/apache2/sites-enabled/owncloud.conf

$ sudo cat /etc/apache2/sites-enabled/owncloud.conf 
Alias /owncloud "/home/kivi/www/owncloud/web"

<Directory /home/kivi/www/owncloud/web>
  Options +FollowSymlinks
  #Require all granted 
  AllowOverride All
  #Order deny,allow
  #allow from all

  <IfModule mod_dav.c>
    Dav off
  </IfModule>
  #<IfModule mpm_itk_module>
    #AssignUserId kivi kivi
  #</IfModule>

  SetEnv HOME /home//kivi/www/owncloud/web
  SetEnv HTTP_HOME /home/kivi/www/owncloud/web
</Directory>

<VirtualHost *:80>
  #ServerName localhost
  ServerAlias owncloud
  ServerAdmin webmaster@localhost
  DocumentRoot /home/kivi/www/owncloud/web
  ErrorLog /home/kivi/www/logs/owncloud/error.log
  CustomLog /home/kivi/www/logs/owncloud/access.log combined
</VirtualHost>

/etc/apache2/sites-enabled/ssl.conf

$ sudo cat /etc/apache2/sites-enabled/ssl.conf 
<VirtualHost *:443>
  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/apache.crt
  SSLCertificateKeyFile /etc/ssl/private/apache.key
    
  #<IfModule mod_ssl.c>
    SSLProtocol all -SSLv2 -SSLv3
    SSLCompression Off
    SSLHonorCipherOrder on 
    SSLCipherSuite "EECDH+AESGCM EDH+AESGCM !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
  #</IfModule>
  # Pfad zu den Webinhalten
  DocumentRoot /var/www/
  DocumentRoot /home/kivi/www/kivitendo/kivitendo-erp
  DocumentRoot /home/kivi/www/owncloud/web
  <Directory /kome/kivi/www>
    Order allow,deny
    Allow from all
  </Directory>
</VirtualHost>

o sorry kivitendo (*.conf) ist ebenfals eine Webanwendung, die läuft aber ohne Probleme.

Habe die owncloud.conf in /etc/apache2/sites-available etwas geändert, nun zeigt mir das Browser Fenster keine 403 Meldung an, sondern nur eine weiße leere Seite. Folgende markierte Änderungen

<Directory /home/kivi/www/owncloud/web/>
  Options +FollowSymlinks
  AllowOverride none
  Require all granted
  #Require all granted
  #AllowOverride All
  #Order deny,allow
  #allow from all

Die error.log hat nun folgende Zeile

PHP Fatal error:  Uncaught Error: Call to a member function getLogger() on null in /home/kivi/www/owncloud/web/index.php:86\nStack trace:\n#0 {main}\n  thrown in /home/kivi/www/owncloud/web/index.php on line 86, referer: 

Habe es geschafft jetzt läuft gar nix mehr, es ist zum 😢

# apachectl configtest
Syntax OK

# /etc/init.d/apache2 restart
[....] Restarting apache2 (via systemctl): apache2.serviceJob for apache2.service failed because the control process exited with error code.
See "systemctl status apache2.service" and "journalctl -xe" for details.
 failed!

# systemctl status apache2.service
● apache2.service - The Apache HTTP Server
   Loaded: loaded (/lib/systemd/system/apache2.service; enabled; vendor preset: enabled)
  Drop-In: /lib/systemd/system/apache2.service.d
           └─apache2-systemd.conf
   Active: failed (Result: exit-code) since Mon 2020-04-13 12:21:48 UTC; 1min 13s ago
  Process: 5422 ExecStart=/usr/sbin/apachectl start (code=exited, status=1/FAILURE)

Apr 13 12:21:47 ubuntu_server systemd[1]: Starting The Apache HTTP Server...
Apr 13 12:21:48 ubuntu_server apachectl[5422]: Action 'start' failed.
Apr 13 12:21:48 ubuntu_server apachectl[5422]: The Apache error log may have more information.
Apr 13 12:21:48 ubuntu_server systemd[1]: apache2.service: Control process exited, code=exited stat
Apr 13 12:21:48 ubuntu_server systemd[1]: apache2.service: Failed with result 'exit-code'.
Apr 13 12:21:48 ubuntu_server systemd[1]: Failed to start The Apache HTTP Server.

Zusammenfassung am Schluss. 😉

dvdm schrieb:

/sites-enabled/000-default.conf

$ sudo cat /etc/apache2/sites-enabled/000-default.conf 
<VirtualHost *:80>
        #ServerName www.example.com

        ServerAdmin webmaster@localhost
        DocumentRoot /var/www
        DocumentRoot /home/kivi/www/kivitendo/kivitendo-erp
        DocumentRoot /home/kivi/www/owncloud/web
</VirtualHost>

Du solltest pro VirtualHost-Direktive nur eine DocumentRoot-Direktive verwenden. Willst du zusätzliche Verzeichnisse in einen einzelnen VirtualHost einhängen, gibt es dafür die Direktive Alias. Schau dir die verlinkte Dokumentation an, um zu erfahren, was du in dem Fall beachten solltest. Mit Alias sorgst du dafür, dass nicht in der DocumentRoot liegende Ressourcen unter demselben Hostnamen zugänglich gemacht werden. Das Ergebnis könnten also URL wie folgt sein:

• http://hostname.tld/ ⇒ DocumentRoot: /var/www

• http://hostname.tld/owncloud ⇒ Alias: /home/kivi/www/owncloud/web

• http://hostname.tld/kivitendo ⇒ Alias: /home/kivi/www/kivitendo/kivitendo-erp

Möchtest du jedoch, dass der Server unterschiedliche Inhalte in Abhängigkeit des verwendeten Hostnamens ausgibt, brauchst du mehrere VirtualHost-Direktiven - also der Einfachheit halber eine funktionierende Kopie der 000-default.conf je virtuellem Hostnamen. Hier erhält dann jede Kopie ihre eigene DocumentRoot-Direktive und natürlich sollte auch eine passende Directory-Deklaration dort anzutreffen sein. Was an dieser Stelle nicht fehlen darf, ist die Angabe der richtigen ServerName-Direktive. Im Ergebnis könnte das dann so aussehen:

• http://hostname.tld/ ⇒ DocumentRoot: /var/www

• http://www.hostname.tld ⇒ via https://httpd.apache.org/docs/2.4/mod/core.html#serveralias-Direktive im vorgenannten VirtualHost

• http://owncloud.hostname.tld ⇒ DocumentRoot: siehe Aufzählung oben

• http://kivitendo.hostname.tld ⇒ DocumentRoot: siehe Aufzähung oben

In allen Fällen ist es wichtig, die entsprechenden DNS-Einträge bereitzustellen und auch die jeweiligen Berechtigungen zu berücksichtigen.

Ich habe mich zunächst nur auf deine 000-default.conf konzentriert. Die anderen übermittelten Dateien machen den Eindruck, dass dir noch nicht klar ist, wie die einzelnen Dateien zusammenwirken bzw. die einzelnen Blöcke ineinander verschachtelt sind. Besonders auffällig ist das bei der owncloud.conf, die einmal komplett zu überarbeiten wäre.

Die SSL-Konfiguration ist effektiv analog zur normalen Konfiguration zu betrachten. Der Unterschied sind ein paar zusätzliche Direktiven und ein anderer Port (Standard: 443). Sobald SSL (sprich: HTTPS) ordentlich läuft, bietet es sich an, die Konfiguration für HTTP über Port 80 entweder zu deaktivieren oder eine automatische Umleitung auf HTTPS einzurichten. Spätestens wenn es ins Internet gehen soll oder du dein Netzwerk mit Systemen teilst, auf denen du nicht jedes kleine Stück Netzwerkverkehr steuern kannst, ist es aus meiner Sicht sogar zwingend notwendig, HTTP (außer für die Umleitung) unzugänglich zu machen.

Noch ein paar Infos zum Thema SSL/TLS bzw. zu den Zertifikaten:

• Ein Zertifikat zur Serverauthentisierung darf aus Sicherheitsgründen kein CA-Zertifikat sein (CA=true), auch wenn die Verbindung technisch betrachtet genauso gut abgesichert ist.

• Der Server generiert im Optimalfall ein eigenes Schlüsselpaar und auf dessen Basis eine Zertifikatsanforderung für seinen FQDN (z.B. service.host.domain.tld). Wenn die Zertifizierungsstelle es zulässt, sind auch Wildcard-Zertificate zulässig (z.B. *.host.domain.tld, *.domain.tld, *.tld, *). Gerade die letzten beiden Beispiele sollten eher aufzeigen, welche Probleme man sich mit Wildcard-Zertifikaten einhandeln kann.

• Die Zertifizierungsstelle signiert die Zertifikatsanforderung (im Optimalfall jedenfalls) und der Server kann das signierte Zertifikat und seine Schlüsselpaare in der Konfiguration referenzieren.

• Jetzt der Knackpunkt: Alle Clients, die das Zertifikat des Servers ohne Warnung akzeptieren sollen, müssen das Zertifizierungsstellenzertifikat geladen haben und ihm vertrauen. Das ist der Teil, der dazu führt, dass Let's Encrypt für öffentlich zugängliche Server in den letzten Jahren so beliebt wurde, weil deren CA-Zertifikat in den meisten neueren Produkten enthalten ist. Eine private CA muss über verschiedene Mechanismen bis hin zum Manuellen Hinzufügen in den Speicher für Zertifizierungsstellen übertragen werden.

Zusammenfassung: Schau dir bitte nochmal die an und für sich sehr gute Dokumentation des Apache-Projekts an und mach dir einen Kopf, wie du in Zukunft mit den Zertifikaten umgehen willst. Und ganz wichtig: Denk daran, dass nicht alle Direktiven in der Konfiguration beliebig oft in demselben Kontext verwendet werden dürfen!

So Leute, ich habe es und läuft.

Na das ist nach meinem Roman aber schon etwas dünn. 😉

Wir freuen uns immer über mehr Informationen, damit andere, die über dieses Problem stolpern, auch eine Lösung finden. 😀

Das Teil habe ich zwar gelesen und auch die DocumentRoot Verzeichnisstruktur beherzigt angepasst, aber das war es Glaube ich nicht. Hatte ja sowieso bei den einzeln *.conf Files die entsprechende DocumentRoot Direktive drinnen. Was ich aber gemacht habe die owncloud.conf, stark reduziert, sowie siehe markierten Passagen geändert, anbei

Alias /owncloud/  /home/kivi/www/owncloud/web/

<Directory /home/kivi/www/owncloud/web>
  Options +FollowSymlinks
  AllowOverride All
  Require all granted

  <IfModule mod_dav.c>
    Dav off
  </IfModule>

  SetEnv HOME /home//kivi/www/owncloud/web
  SetEnv HTTP_HOME /home/kivi/www/owncloud/web
</Directory>

<VirtualHost *:80>
  ServerAdmin webmaster@localhost
  DocumentRoot /home/kivi/www/owncloud/web
  ErrorLog /home/kivi/www/logs/owncloud/error.log
  CustomLog /home/kivi/www/logs/owncloud/access.log combined
</VirtualHost> 

Danach hatte ich zumindest im Browser ein owncloud Fenster, zwar mit dem Hinweis

Du greifst von einer nicht vertrauenswürdigen Domain auf den Server zu.  Bitte kontaktiere deinen Administrator. Wenn du ein Administrator dieser Instanz bist, konfiguriere die "trusted_domains" Einstellung in config/config.php. Eine Beispielkonfiguration wird unter config/config.sample.php in der Dokumentation bereitgestellt.

Nun ja, ich hatte darauf die default-ssl.conf via a2ensites default-ssl wieder aktiviert. Das löste das Problem zwar nicht. Dann auf in die ...owncloud/web/config/config.php Datei und da mit der trusted_domains' ⇒ Einstellung experimentiert, letztlich funtze dann diese Konstellation 0 ⇒ 'localhost', 1 ⇒ 'IPdesServers',. Dann Spuckte mir der Browser eine Memcache Meldung aus, worauf ich jenes einfach Auskommentierte //'memcache.distributed' ⇒ '\\OC\\Memcache\\Memcached', Und wola es läuft.

Aber dennoch vielen lieben Dank bis dahin. Das einzige was mich noch etwas Stört ist, das im jeweiligen Browser eine Ausnahmeregel hinzugefügt werden muss.

Deine Konfiguration mag oberflächlich besser laufen, jedoch ist sie je nach Sichtweise immernoch kaputt. Hintergrund:

Dadurch, dass die Alias- und Directory-Direktiven nicht von einer VirtualHost-Direktive umgeben sind, landen sie direkt in der Serverkonfiguration. Solltest du irgendwann Variante 2 aus meiner letzten Antwort versuchen, müsstest du diese Abschnitte erst in einen eigenen VirtualHost ziehen. Zusätzlich gilt somit immer die SSL-Information des Servers und nicht die des VirtualHosts, womit du (wieder im Fall von Variante 2) immer das falsche Zertifikat ausgibst.

Ich habe mich zu den trusted_domains nicht eingelesen, nehme jedoch an, dass du in Abhängigkeit von der Aufrufkonvention auch hostname.domain.tld oder nur domain.tld eintragen kannst.

Zu memcache machst du eventuell noch ein neues Thema auf. Es hat in meiner Erfahrung nie zu besonders großer Stabilität geführt, wenn man einfach nur Meldungen hat verschwinden lassen, ohne die Ursache und damit die richtige Lösung zu kennen.

Und zur Ausnahme im Browser: Wie in meinem letzten Beitrag angegeben, ist die Alternative zur Ausnahme (die trainiert nur die falschen Reflexe) das Importieren des Zertifizierungsstellenzertifikats auf den Clients oder die Nutzung einer Zertifizierungsstelle, der die Clients von vornherein vertrauen.