start apache2 [vyřešeno]

[joshua]

mám problém se startem apache2. po zadání příkazu sudo apache2 -k start se objeví:

Kód: [Vybrat]

apache2: Could not determine the server's fully qualified domain name, using 127.0.1.1 for ServerName
httpd (pid 6653) already runningapache se nespustí. nevíte, čím to je?
a omlouvám se, protože a apachem pracuji poprvé

[Pavelp]

Asi zustal nesmazany apache.pid. Jestli opravdu nebezi ?!?  (ps ax), hledejte ve /var/run neco jako apache.pid. To smazte a zkuste to spustit. Mimoto mam dojem, ze apache potrebuje mit k dispozici dns server ale nejsem si jisty. Ta hlaska o te domene asi znamena, ze jste v konfiguraci nechal, resp. nenstavil domenu, na ktere apach sedi.

[drat]

Ano jedna z pricin muze byt opravdu to ze apache uz bezi. pokud mate apache z repozitaru, tak skript na obsluhu je v /etc/init.d/apache2. A co je dulezitejsi. Defaultne se pri startu spusti. Dejte pred vasim marnym pokusem

Kód: [Vybrat]

ps -e | grep apachepokud se vam nehake procesy ukazou tak uz bezi. Jinak nevim co s tim .

[Guido]

Pokud chcete spouštět Apache ručně, dělejte to přes:

Kód: [Vybrat]

sudo /etc/init.d/apache2 start|stop|restartA jinak jak psal drat - pokud mate Apache naistalovaný, startuje defaultně po bootu.

Když tak se také zkuste podívat do:
Systém => Správa => Služby => Web server (apache2)
kde se dá to automatické spouštění vypnout/zapnout.

Že Apache běží ověříte jednoduše: do prohlížeče napište:

Kód: [Vybrat]

http://localhosta mělo by to být jasný :-)

[ped]

apache2 nainstalovany z repozitare nejen ze defaultne bezi, ale na ciste instalaci kubuntu 6.10 prijima pozadavky i z venku.

Takze jestli to planujete pouzivat pro vyvoj webovych stranek, doporucuji pristup z venku zakazat/omezit. Ja jsem to aktualne vyresil zmenou konfigurace apache2 na prijem jenom z localhost, ale vypada to tak ze s tim ma pak problem treba konqueror nebo Kdevelop (nemel jsem moc casu zjistovat kde presne je problem), takze az zase budu mit cas, tak se chystam radeji nahodit iptables (firewall) a filtrovat to na tehle urovni a apache2 zmenit zpatky aby prijal vsechno co mu prijde.

Mne osobne prijde tohle chovani (instalace baliku = otevreny web server) tak trochu jako security bug, imho v ramci konfigurace baliku nebo pred prvym spustenim apache by se mel spustit nejaky config wizard ktery by nabidl bud klasickou default konfiguraci jako ted, nebo uzavreny setup pro vyvoj (pristup jenom z daneho PC), nebo vlastni custom editaci konfigurace.

[joshua]

děkuji všem. to, že se apache spustí při staru jsem nečekal. a jinak vše funguje

[drat]

Mne osobne prijde tohle chovani (instalace baliku = otevreny web server) tak trochu jako security bug, imho v ramci konfigurace baliku nebo pred prvym spustenim apache by se mel spustit nejaky config wizard ktery by nabidl bud klasickou default konfiguraci jako ted, nebo uzavreny setup pro vyvoj (pristup jenom z daneho PC), nebo vlastni custom editaci konfigurace.

No bug to je otazka. Sice jste dostupny zvenku ale ukaze se pouze tak na tomto serveru bezi Apache. Ano souhlasim ze je na miste to zavrit jen do localhosta, ale nevidel bych to jako velkou nevyhodu. Hold normalni uzivatel si to instalovat nebude. Administrator si to nakonfiguruje a webmaster by si to mel umet nakonfigurovat taky. Ja bych spis rek ze je to jen demonstarce ze apache bezi na danem stroji a vyvojari nemohou vedet jestli to nekdo zkousi na localhostu nebo v ramci internetu nebo jine site. Ale neni to spatny napad s tim vybiranim toho co od te instalace clovek ocekava. Pokud to udelate cela komunita vam bude jiste vdecna.

[Guido]

Mne osobne prijde tohle chovani (instalace baliku = otevreny web server) tak trochu jako security bug, ...

Wow!! Security bug!!! To jsou silná slova. Rád bych se zeptal proč si to myslíte?

Webový server je primárně určen pro poskytování "vzdáleného" webového obsahu. Abych k takovému obsahu přistupoval lokálně přes webserver je samozřejmě nesmysl (pomiňme důvodné výjimky). Takže je logické, že je webserver po instalaci "otevřený". Abych pravdu řekl, ještě jsem nenarazil na distribuci, kde by byl webserver "nepřístupný zvenku" (teď samozřejmě nemluvím o firewallu apod.).

Pokud máte obavy o svoji "security", tak jsou k tomuto účelu specializované nástroje. Pokud máte jako vývojář důvody, aby Váš webserver byl přístupný jen z localhostu, měl byste mít dostatek znalostí si to takto umět nastavit.

Nicméně znovu bych se zeptal na důvod/y proč něco takového nastavovat? Pracuji jako vývojář webových aplikací posledních 5 let a prozatím jsem takovou potřebu na žádném stroji neměl.

--------------------------

To joshua: Píšete, že s Apachem pracujete poprvé. Takže já Vám naopak doporučuji jeho konfiguraci nijak neměnit - po instalaci je nastaven dobře a bezpečně. Samozřejmě můžete s nastavení různě experimentovat, ale je vždy dobré vědět co děláte a ještě důležitěší proč to děláte.

Jinak pokud Vás to, co psal ped znejistělo, nainstalujte si nějaký firewall. Na druhou stranu čas od času není od věci se na vytvářené stránky podívat "zvenku" - třeba z vedlejšího počítače, on může být localhost někdy zrádný - tak abyste se tam přes ten firewall dostal :-)

[Pavelp]

Nevim jestli security bug, ale osobne se mi vic libi - u vyznamnych programu, ktere bezi jako demoni a spousteji se pri startu and maji pomerne slozitou konfiguraci - uf. Tedy libi se mi takovy postup, kdy pri instalaci je trebas v /etc/default nejaky zaznam napr. "neco_run=off", ci podobny zpusob, proste proto, aby to spravce vubec stacil spravne nakonfigurovat a otestovat, nez to pusti do provozu.

[Guido]

Ale neni to spatny napad s tim vybiranim toho co od te instalace clovek ocekava. Pokud to udelate cela komunita vam bude jiste vdecna.

Já si tedy naopak myslím, že je to špatný nápad.
1) Není pro to důvod. Leda paranoia (potom si ale neistaluji webserver).
2) Je to zdroj problémů: buď budete potřebovat ještě jeden další testovací webserver, abyste viděl jak se to chová na "síti" (klidně uzavřené), anebo budete vypínat/zapínat firewall, nebo nedej bože překonfigurovávat webserver.

[drat]

Proc je dobre zavirat se jen do localhosta? Videl bych nekolik duvodu pro tuto akci. Na takovem webovem serveru se muzou nachazet choulostive informace. Typu nejaka dokumentace jen v textovych souborech, SQL dumpy, muze udelat preklep v konfiguraku apache a ten posleze nenastartuje (jasne rozumni lide pred reloadnutim noveho konfigu davaji apache2ctl configtest) jak bymel, vypadne podpora pro skriptovaci a jazyk a nahoudou na vas server nekdo narazi a skripty si jednoduse postahuje a spousta takovyhle blbinek ktery si vyvojar nekam da do weboveho stromu. Navic pokud sedite na verejne IP je to jeste horsi. Ano na druhou stranu kdo by ke me lezl atd., ale takovy pristup se muze vymstit. Ja v zadnem pripade nerikam ze mit otevreny apache je blbost. Sam jej oteviram kdyz potrebuji. Jen jsem rekl par duvodu proc si myslim ze je dobre zavirat apache (nebo alespon virtualniho hosta na vyvojovou vetev webove aplikace). Tahle debata ale uz zacina byt trochu OT. Puvodni dotaz vyresen.

[drat]

Ale neni to spatny napad s tim vybiranim toho co od te instalace clovek ocekava. Pokud to udelate cela komunita vam bude jiste vdecna.

Já si tedy naopak myslím, že je to špatný nápad.
1) Není pro to důvod. Leda paranoia (potom si ale neistaluji webserver).
2) Je to zdroj problémů: buď budete potřebovat ještě jeden další testovací webserver, abyste viděl jak se to chová na "síti" (klidně uzavřené), anebo budete vypínat/zapínat firewall, nebo nedej bože překonfigurovávat webserver.

Myslim ze jsme se spatne pochopily. Ja mel na mysli neco jako modra obrazovka pri instalaci (to zni morbidne typu treba. Chcete aby apache bezel jako standalone aplikace nebo inetd OK dalsi obrazovecka typu Chcete nyni zpristupnit webovy server zvenku popripade chcete po instalaci spustit webovy server. Jsem paranoik dam buch nechci, je mi to jedno buch ok zpristupnit pustit. Setting up Apache 2 ......

[Guido]

Nevim jestli security bug, ale osobne se mi vic libi - u vyznamnych programu, ktere bezi jako demoni a spousteji se pri startu and maji pomerne slozitou konfiguraci - uf. Tedy libi se mi takovy postup, kdy pri instalaci je trebas v /etc/default nejaky zaznam napr. "neco_run=off", ci podobny zpusob, proste proto, aby to spravce vubec stacil spravne nakonfigurovat a otestovat, nez to pusti do provozu.

Myslím, že to co požadujete, by šlo jednoduše realizovat následovně:
1) instalace balíčku
2) vypnutí služby + případná dodatečná konfigurace (firewall apod.)
3) pro testování spouštět aplikaci pomocí skriptu v /etc/init.d/
4) po odladění službu zapnout

[Jakub Lucký]

No, mám kamaráda, který se doma připojuje do wifi, kterou sdílí s několika dalšími lidmi...
Apache ovládá fakt dobře, tak si ho nastavil tak, aby se mu cizí přístupy logovali a zároveň se mu zobrazilo nějaké uvítání...

No, a už má několik přístupů (zalogovaných)

Takže bezpečnost Web serveru na localhostu, obzvlášť pokud jste v podobné síti, je imho nutná...

[drat]

Jo jeste bych jen doplnil ze z meho pohledu se bavime o webserveru ktery mam treba ja doma a vyvyjim na nem webovy aplikace a na nic jineho ho nemam. Nevidim duvod proc zbytecne zpracovavat pakety z netu. Produkcni server zavirat do localhosta je tak na to aby administratora odvezli do Bohnic

[ped]

Poustet vyvojovy web server smerem ven je extremne nebezpecne. Ve vsem ostatnim kolem webu jsem novacek, ale jako dlouholety programator vas muzu ujistit ze je to obrovska dira do systemu.

Jednak se vystavujete riziku utoku exploitem primo na apache, t.j. rovnaky stupen rizika jako u produkcniho web serveru, ale tam vetsina lidi nahodi nejake hlidaci psy aby meli alespon nejakou sanci utok identifikovat a aktivne se branit. Na vyvojovem webu je mozne nastavit rovnaky stupen bezpecnosti, ale!

Nevim jak vy, ale ja na vyvojovem web serveru vyvijim webove stranky. T.j. kdyz pisu nejake php, a jednou za cas zmacknu "save" (mam zalozni zdroj, ale sila zvyku je neprekonatelna), tak v te chvili je rozpracovana stranka na serveru. A nevim jak vy, ale ja kdyz pisu, tak nejdriv vetsinou resim hlavni casti stranky, a prubezne doladuji vzhled a bezpecnost, t.j. vetsinou pokud tam je misto kde se musi bezpecnost resit, tak casto nekolik hodin nebo i dnu to misto neni korektne osetrene dokud to nedokoncim. Takze kdyz utocnik vymakne takovou rozepsanou stranku kde treba funguje SQL injection, tak lepsi situace pro neho by snad uz jen byla rovnou nekde na webu zverejnit vasu IP a nazev souboru, aby ho nemusel hledat.

Proste bezpecny vyvoj lze provadet jenom v uzavrenem prostredi. Pak pred nasazenim by melo probehnout porad v uzavrenem prostredi testovani a az pote to nasazovat na produkcni server. (samozrejme zalezi na tom co clovek dela, jestli si delate home page s guest bookem a nejhorsi co se muze stat je ze prijdete po utoku o vsechny commenty, tak bezpecny vyvoj je asi zbytecna vec)

Proc mi ten pusteny apache vadil:
Ja totiz krome apache2 nainstaloval soucasne i baliky pro mysql, myphpadmin, websvn a jeste par veci. Hadejte v jakem stavu byly mysql a myphpadmin po instalaci ... ano, funkcni. A diky funkcnimu apache2 byly funkcni a pristupne zvenci! A hadejte jake melo mysql nastavene heslo. Ano, zadne.
Nevim jestli k ziskani pristupu by nebylo potreba jeste neco dalsiho, ale radeji jsem to nezkoumal a rychle to zakazal.

Jinak ja se webu nevenuji, delam si jen nejake stranky pro radost ve volnem case, proto po instalaci apache2 balicku jsem komp vypl a sel se venovat jinym vecem, konfiguraci jsem odlozil na pozdeji. Vubec jsem netusil ze to bude hned funkcni.

[Guido]

Well, tak se mi zdá, že celá následná debata je jaksi o nepochopení mechanizmů a principů bezpečnosti obecně. Takže:

1) bojím se přístupů zvenku - nainstaluji a nakonfiguruji firewall
2) bojím se exploitu na webserveru či získání práv pod kterými služba běží apod. - zavřu to do chrootu, jailu apod.
3) mám vývojový server - nestrkám na něj choulostivá data!!! A zejména na webserveru neskladuji SQL dumpy!!!
4) atd., nejsme na přednášce

Takže znovu opakuji: ať si každý dělá na svém (web)serveru co chce, ale neraďte, prosím, začátečníkovi nesmysly. O uzavírání webserveru do localhostu se nikde v literatuře nepíše. Hádejte proč? (Pomiňme věci jako Hacking the Linux apod. kde se kvůli paranoie radí porušovat standardy.) Zrovna tak to nedělá žádná distribuce, hádejte proč?

A ještě si objasněme jednu věc. Máme vývojářský (nebo taky "vývojářský") server. OK?
1) Jsem profesionál - dělám ve firmě, takže automaticky sedím za firewallem. Je mi to málo? Nastavím si osobní firewall, příp. věci které jsem uvedl výše.
2) Dělám si stránky pro radost. Opět viz výše. Čili začnu firewallem.
3) Mám vývojářský server na veřejné adrese.
 a) Buď nevím která bije,
 b) nejsem úplně duševně zdráv,
 c) mám rád riziko a jen tak nějaká ztráta mě neohrozí.
Každopádně opět je to o obecných principech bezpečnosti. Na co mi je webserver přístupný jen z localhostu, když nemá firewall a beztak otevřených dalších pět deset portů?!?!?

[Guido]

Poustet vyvojovy web server smerem ven je extremne nebezpecne. Ve vsem ostatnim kolem webu jsem novacek, ale jako dlouholety programator vas muzu ujistit ze je to obrovska dira do systemu.

Přiznám se, že Vám trochu závidím - Váš život musí být plný vzrušení a dobrodružství. Extrémně nebezpečné říkáte? Respektuji Váš názor, nicméně dovolte mi osobní pohled na něj: Pro někoho může být extrémně nebezpečné jít si koupit naproti do krámu dva rohlíky. Většina lidí se ale rozhlédne před vstupem do vozovky, přejde, koupí si rohlíky, na zpáteční cestě se opět rozhlédne, přejde... Takže ano, vstoupit do vozovky může být extrémně nebezpečné. Pokud ale dodržuji určitá pravidla, nemělo by se mi nic stát (no, pravda - může na mne spadnout letadlo nebo meteorit).

Takže jako dlouholetý programátor webových aplikací Vás můžu ujistit, že to není obrovská díra do systému. Samozřejmě při dodržení určitých bazálních pravidel.

Proste bezpecny vyvoj lze provadet jenom v uzavrenem prostredi. Pak pred nasazenim by melo probehnout porad v uzavrenem prostredi testovani a az pote to nasazovat na produkcni server.

Nevím, jestli tomu správně rozumím - píše to to dost obecně, ale asi s Vámi nesouhlasím. Takže, pokud mluvíme o vývoji:
1) Jsou potřeba tři systémy: vývojový, testovací a produkční.
2) Některé věci se v "uzavřeném" systému nedají testovat a někdy ani spustit.
3) Pokud ten vývoj má být z nějakého důvodu opravdu bezpečný, tak to není starost programátora. Od toho je tu správce systému, bezpečnostní konzultant apod.

Proc mi ten pusteny apache vadil:
Ja totiz krome apache2 nainstaloval soucasne i baliky pro mysql, myphpadmin, websvn a jeste par veci. Hadejte v jakem stavu byly mysql a myphpadmin po instalaci ... ano, funkcni. A diky funkcnimu apache2 byly funkcni a pristupne zvenci! A hadejte jake melo mysql nastavene heslo. Ano, zadne.
Nevim jestli k ziskani pristupu by nebylo potreba jeste neco dalsiho, ale radeji jsem to nezkoumal a rychle to zakazal.

Vezměme si třeba to MySQL. A v jakém jiné stavu by po instalaci asi měla být? V nefunkčním? Pokud jste se podíval na terminál po instalaci MySQL, byly tam napsány kroky, které byste měl udělat, mmj. jak nastavit heslo pro administrátora. Že to někdo neví nebo neudělá?

Anebo ten phpMyAdmin. Po jeho instalaci byste se IMHO neměl k databázi přihlásit - aby to šlo, musíte mít v databázi vytvořený účet a ten mít také nastavený v konfiguraci phpMyAdmina. Je možný, že je tam nakonfigurovaný root bez hesla - ale to je "problém" předešlého odstavce.

[ped]

Ano, takze se shodnem, proste jsem udelal velkou blbost.

Problem je v tom, ze kdyz se distribuce jako Ubuntu zacina hlasit k "User friendly" distribucim, tak takovych bezstarostnych lidi co si nainstaluji nejdriv apache, pak to par dnu nechaji byt, a pak je napadne ze by treba mohli skonfigurovat i firewall a vubec apache ... tak takovych lidi bude asi pribyvat. Myslim ze by nebylo az tak spatne kdyby je pri instalaci/prvnim spusteni toho balicku neco prinutilo udelat nezbytne kroky bezodkladne, nebo by to ten apache nenastartovalo v pripade odlozeni.

Jiste, kdyz se dela web profesionalne, tak ma clovek asi nejakeho admina po ruce, nebo je sam admin nebo alespon vi co dela.
Jestli ja si chci doma pro radost udelat par stranek v PHP s nejakymi datami v MySQL, nebudu se ucit tyto veci konfigurovat, ja to pak stejne hodim na cizi server kde to konfiguruje nekdo jiny.

Ja osobne jsem predtim pod windows pouzival EasyPHP: apache+php+mysql+phpmyadmin v ~8MB zipu a vsechno prednastavene pro lokalni vyvoj. Par kliku a mohl jsem se rovnou venovat psani stranek bez obav o konfiguraci.

Apriori predpokladat ze kazdy kdo instaluje apache2 bude taky okamzite vedet co s tim *na desktopovem OS* je podle mne optimizmus. Vitejte do sveta BFU. (a to ja aspon jako programator chapu ze o tom temer nic nevim, uplny BFU vas jeste bude presvedcovat ze to nainstaloval a zkonfiguroval spravne a ze chyba urcite neni na jeho strane .

[Guido]

Teď s Vámi souhlasím.

A zmínil jste důležitou věc, nelze očekávat, že (obecný) uživatel user frendly systému bude mít hlubší znalosti o tom, co a jak nakonfigurovat. Ale na druhou  stranu, tak jako kdekoli jinde v životě - neznalost neomlouvá, takže pokud takový uživatel neví o standardních postupech, nemůže se pak divit, že něco nedopadlo dobře - sám si to způsobil.

[drat]

3) Mám vývojářský server na veřejné adrese.
 a) Buď nevím která bije,
 b) nejsem úplně duševně zdráv,
 c) mám rád riziko a jen tak nějaká ztráta mě neohrozí.

Sorry ale nemam doma dva PC. Net jen pro domaci pouziti, zadnej server mi tam neslape produkcne a presto mam od providera verejnou adresu. Takze kdyz se podivam do vasich voleb tak mi vychazi ze jsem asi ...... SQL dumpy samozrjeme je blbost mit na webserveru. Vsechny tyto data skalduji mimo svuj vyvojovy webovy strom, ale presto k nim pres apache nastaveny pristup pod jinym namebased hostem. Unit testy, dokumentace a dalsich spustu doplnujicich veci ke kterym je proste pohodlny jit pres webove rozhrani nebo i nutne.

[Guido]

Sorry ale nemam doma dva PC.

Nemusíte se omlouvat... myslím, že mi to nevadí. :-)

Ten třetí bod jsem tam napsal více méně ze srandy. Ale ne zas tak úplně. Ona je otázka, co si kdo představuje pod slovem vývojář, vývoj(-ový) apod. On se občas někdo cítí být "vývojářem" už poté, co dokáže upatlat dvě tři stránky v php-ku (nic proti PHP, ani to nemyslím osobně).

Takže ještě bych mohl ten třetí bod rozšířit:
d) Jako vývojář jsem si ještě nevydělal na odpovídající vybavení. :-)

----------------------------------

No, zdá se mi, že diskuse už ztrácí šťávu. Apache jsme pořešili, tak vzhůru k novým tématům.

[drat]

Ja se neomlouvam myslel. Myslel jsem to spise ironicky. Ten vas bod d) zni totalne namyslene. Nic proti vam. Ale to je v pohode. Stejne nevidim ani jediny duvod mit doma nekolik PC. Jestli se skutecny profesional pozna podle poctu PC doma tak v tom pripade mi postaci mit jen jeden a mit prezdivku nevyvojar. Taky uz bych to ukocil. Jeste si hodte posledni slovo a pak at se to klidne zamcete.

[nuclex]

A co .httacess ? :-)

[ped]

nuclex: porad neresi pripadnou existenci eploitu primo na apache2.
Takze zalezi na tom, kdo je jak moc paranoidni.
Samozrejme pocitac ktery neni pripojeny k internetu jde pres internet hacknout velice tezko, snad vubec ne. Ale taky se s tim blbe browsuje.
Takze to chce nejaky kompromis.
Ja osobne kdyz si delam nejaky maly web pro sebe, tak nepotrebuji aby muj apache byl videt i z venku, takze pro mne ma vyznam to odstavit uplne.