https на локальном wordpress

Автор magrega, 23 июня 2020, 11:56:18

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

magrega

Всем привет! Вопрос, вероятно, глупый, потому что я не смог найти какой-то подходящей мне информации в интернете, потому прошу разжевать если кому-то не сложно.

Есть локальный wordpress на LAMP, на который захожу из-вне по внешнему айпи, домена никакого нет, просто по айпи адресу. Эта лампа у меня на виртуальном дебиан 10 в вм боксе, который стоит на вин10.

Задача: сделать соединение безопасным, чтобы я подключался по https.

Я создал самописный сертификат командой openssl и поместил в корень папки сайта. Затем зашел в вордпресс, установил плагин really simple ssl, который, якобы, сам всю грязную работу делает при наличии сертификата, но когда я его запускаю, он говорит, что не смог найти одобренный сертификат и просит попробовать перезапустить страницу из под https, что, само собой, ни к чему не приводит. Только ошибка браузера -err_connection_refused



И пытался сделать бесплатный сертификат от летсенскрипт, но по голому айпи он сертификат не дает.

Насколько вообще возможно это сделать, не имея хостинга или купленного домена, а просто держа сервак дома?


endru

Никакие плагины вордпресса не смогут заставить сервер работать по https. Нужно настраивать Apache для работы по https и скормить ему сгенерированные сертификаты.
В этом деле поможет гугл.

magrega

#2
Цитата: endru от 23 июня 2020, 12:37:23
Никакие плагины вордпресса не смогут заставить сервер работать по https. Нужно настраивать Apache для работы по https и скормить ему сгенерированные сертификаты.
В этом деле поможет гугл.

Я правильно понимаю, что даже не имея хостинга и домена, я могу локальный сайт сделать доступным по внешнему айпи, но на https?

ogost

Цитата: magrega от 23 июня 2020, 13:22:14Я правильно понимаю, что даже не имея хостинга и домена, я могу локальный сайт сделать доступным по внешнему айпи, но на https?
можете, но с самоподписанным сертификатом у вас каждый раз будет выскакивать предупреждение, мол сертификат не доверенный.

Gamliel

Цитата: magrega от 23 июня 2020, 13:22:14Я правильно понимаю, что даже не имея хостинга и домена, я могу локальный сайт сделать доступным по внешнему айпи, но на https?
Для использования сертификата не важно, размещён сайт на хостинге или на своём компьютере. (Не забудьте настроить файрволл.) А домены бывают и бесплатные. Freenom (.tk и т. д.) не советую, а советую eu.org; только нужно будет установить сервер имён (например, gdnsd) и разместить на нём файл зоны.

magrega

Gamliel, понял. Сейчас пытаюсь создать домен на eu.org и я установил gdnsd, но как его настроить тоже ума не приложу.  Есть ли какое-то руководство, которое поможет мне понять как настроить днс на работу с доменом?

Gamliel

Цитата: magrega от 23 июня 2020, 22:39:05Есть ли какое-то руководство, которое поможет мне понять как настроить днс на работу с доменом?
man gdnsd
man gdnsd.config
man gdnsd.zonefile
gunzip /usr/share/doc/gdnsd/gdnsd_manual.txt.gz -c | less
:)

magrega

#7
Gamliel, кажется удалось разобраться.

---- Servers and domain names check

Accepted IP for NS1.MAGREGA.RU.EU.ORG: myIP

---- Checking SOA records for MAGREGA.RU.EU.ORG

SOA from NS1.MAGREGA.RU.EU.ORG at myIP: serial 3 (55.713 ms)

---- Checking NS records for MAGREGA.RU.EU.ORG

NS from NS1.MAGREGA.RU.EU.ORG at myIP: ok (68.350 ms)


No error, storing for validation...
Saved as request 20200624145259-arf-48082

Done


Сейчас я просто жду, пока одобрят? После получения домена. смогу ли я сертботом получить ссл сертификат от летсенкрипт и перевести сайт на хттпс?

magrega

#8
Ну что ж, всё получилось. Захожу на https://magrega.ru.eu.org через хттпс соединение. Приношу огромное вам спасибо за то, что помогли разобраться. Много экспы поднял, разбираясь в этой теме.

Единственная вещь, которая мне не дает покоя сейчас - как мне добиться, чтобы меня с www.magrega.ru.eu.org кидало на https://magrega.ru.eu.org? Когда ввожу через ввв, то просто ошибка в опере. Я пытался дописать это в конфиге домена, но там ошибка NS bad list и всё.

Gamliel

Цитата: magrega от 24 июня 2020, 20:45:59Ну что ж, всё получилось.
Разве?
$ dig magrega.ru.eu.org soa

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> magrega.ru.eu.org soa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 47224
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 94d30b82ca1e91be3da4791c5ef53495615f4c0545955a60 (good)
;; QUESTION SECTION:
;magrega.ru.eu.org. IN SOA

;; Query time: 31 msec
;; SERVER: 89.19.236.152#53(89.19.236.152)
;; WHEN: Пт июн 26 02:34:45 MSK 2020
;; MSG SIZE  rcvd: 74

$ dig magrega.ru.eu.org ns

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> magrega.ru.eu.org ns
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 56127
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 301bf0ef458ebe6259b0c8c05ef534bffe07e7e260e0dbbe (good)
;; QUESTION SECTION:
;magrega.ru.eu.org. IN NS

;; Query time: 31 msec
;; SERVER: 89.19.236.152#53(89.19.236.152)
;; WHEN: Пт июн 26 02:35:27 MSK 2020
;; MSG SIZE  rcvd: 74

$ dig +short ru.eu.org ns
ns1.eriomem.net.
ns3.keltia.net.
ns.ankh.fr.eu.org.
ns1.eu.org.

$ dig @ns1.eriomem.net magrega.ru.eu.org soa

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @ns1.eriomem.net magrega.ru.eu.org soa
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46396
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: cffbc74a2d0573f41da609f25ef53556fbcabf039257d206 (good)
;; QUESTION SECTION:
;magrega.ru.eu.org. IN SOA

;; AUTHORITY SECTION:
MAGREGA.RU.EU.ORG. 172800 IN NS MAGREGA.RU.EU.ORG.

;; ADDITIONAL SECTION:
MAGREGA.RU.EU.ORG. 172800 IN A 89.178.215.218

;; Query time: 31 msec
;; SERVER: 2a00:c98:2030:a006:1::1#53(2a00:c98:2030:a006:1::1)
;; WHEN: Пт июн 26 02:37:58 MSK 2020
;; MSG SIZE  rcvd: 121

$ dig @ns1.eriomem.net magrega.ru.eu.org ns

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @ns1.eriomem.net magrega.ru.eu.org ns
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56881
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 0268dacc12a10d77e472dde85ef5357e1ab4727c5cd1e3ad (good)
;; QUESTION SECTION:
;magrega.ru.eu.org. IN NS

;; AUTHORITY SECTION:
MAGREGA.RU.EU.ORG. 172800 IN NS MAGREGA.RU.EU.ORG.

;; ADDITIONAL SECTION:
MAGREGA.RU.EU.ORG. 172800 IN A 89.178.215.218

;; Query time: 35 msec
;; SERVER: 2a00:c98:2030:a006:1::1#53(2a00:c98:2030:a006:1::1)
;; WHEN: Пт июн 26 02:38:38 MSK 2020
;; MSG SIZE  rcvd: 121

$ dig @89.178.215.218 magrega.ru.eu.org soa

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @89.178.215.218 magrega.ru.eu.org soa
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Впечатление такое, что Вы открыли 53 порт только на время заявки на домен (или только для тех IP-адресов, которые использует eu.org). Или что провайдер закрыл 53 порт. Или что Ваш сервер выключен. Неправильно, что сервер имён только один.

Цитата: magrega от 24 июня 2020, 20:45:59как мне добиться, чтобы меня с www.magrega.ru.eu.org кидало на https://magrega.ru.eu.org? Когда ввожу через ввв, то просто ошибка в опере. Я пытался дописать это в конфиге домена, но там ошибка NS bad list и всё.
Создаёте на веб-сервере виртуальный хост с именем www.magrega.ru.eu.org, выдающий статус 301, указываете этот виртуальный хост в DNS-зоне.

magrega

#10
Gamliel, Нет, всё в порядке, я просто когда вчера спать ушел, вырубил комп с виртуалкой, прошу простить. Сейчас все опять работает. Вчера еще столкнулся с проблемой, что ufw начал хаотично блочить соединения. Я сначала подумал, что по каким-то причинам мой сервак виден только в РФ, но когда стал скидывать друзьям ссылку на сайт у кого-то получалось зайти, у кого-то нет. Вот думаю как настроить файрвол так, чтобы работало нормально. В логах посмотрел - блочаться соединения по протоколу UPD. Разрешил их в файрволе, всё работает.

Как создать виртуальный хост знаю, но не знаю как заставить его выдавать статус 301. Погуглю. В днс зоне вы имеете в виду в файле зоны или в конфиге домена на сайте еу.орг?

АПД. У меня уже в конфиге сайта апач прописан serveralias www.magrega.eu.org. Я его добавил также в файл зоны как НС и ниже как адрес (через А параметр, не знаю, как это называется). При проверке на сайте домена - пишет ошибку NS bad list, но при вводе www.magrega.eu.org в строку браузера - перекидывает куда надо, но предупреждает, что соединение по хттп, однако после перехода уже на сам сайт, видно, что соединение защищенное. Это нормально или это своего рода брешь в безопасности сайта?

Мне интересно, отчего появляется ошибка эта NS bad list? Не от того ли, что у меня два НС на один айпи?

Gamliel

Цитата: magrega от 26 июня 2020, 09:40:06Сейчас все опять работает.
$ dig +short magrega.ru.eu.org soa
magrega.ru.eu.org.magrega.ru.eu.org. magrega.ru.eu.org. 3 7200 1800 259200 900
$ dig +short magrega.ru.eu.org ns
www.magrega.eu.org.
magrega.ru.eu.org.
$ dig +short magrega.ru.eu.org a
89.178.215.218
$ dig +short www.magrega.ru.eu.org a
89.178.215.218
Во-первых, Вы не поставили точку в конце имени сервера имён в SOA-записи. Во-вторых, указан недействительный адрес администратора (полагаю, у Вас не было такой цели; в этом случае Вы, вероятно, указали бы что-то вида root.localhost.). В-третьих, весьма желательно, чтобы вторичный сервер имён находился далеко от первичного.

Цитата: magrega от 26 июня 2020, 09:40:06ufw начал хаотично блочить соединения.
UFW просто обёртка к iptables, а они теперь legacy. Будущее за nftables. Нужно открыть порты 53, 80 и 443, но только при условии, что соответствующие сервера их постоянно слушают.

Цитата: magrega от 26 июня 2020, 09:40:06В днс зоне вы имеете в виду в файле зоны или в конфиге домена на сайте еу.орг?
В файле зоны.

Цитата: magrega от 26 июня 2020, 09:40:06при вводе www.magrega.eu.org в строку браузера - перекидывает куда надо, но предупреждает, что соединение по хттп, однако после перехода уже на сам сайт, видно, что соединение защищенное. Это нормально или это своего рода брешь в безопасности сайта?
Возможно, сертификат выписан только для одного адреса. Или Вы не настроили его использование перенаправляющим виртуальным хостом. (При заходе на любой из двух адресов Firefox сообщает мне: «Во время загрузки страницы соединение с сервером было сброшено. Возможно, сайт временно недоступен или перегружен запросами. Подождите некоторое время и попробуйте снова».)

Цитата: magrega от 26 июня 2020, 09:40:06Мне интересно, отчего появляется ошибка эта NS bad list? Не от того ли, что у меня два НС на один айпи?
Возможно. Это действительно ненормально. Создать вторичный сервер имён для своего домена можно, в частности, на BuddyNS и puck.nether.net.

А IPv6-адреса у Вас нет?

magrega

Gamliel, Я верно понимаю, что адрес администратора здесь имеется в виду как контактный адрес, почта к примеру7 Или есть еще какое-то предназначение у этой записи? Точки проставил, сертификат обновил. Теперь всё нормально.

Не могу понять, как сделать вторичный днс. На обоих предложенных Вами сайтах я сталкиваюсь с ошибками при добавлении НС. На puck.nether.net, к примеру, мне пишут Unable to axfr that domain from that IP.
А на БаддиНС - Rejected: Conflicts with already-registered children.

В качестве primary server ф пишу свой публичный айпи, а в качестве домена указываю eu.org. Верно ли это?

Gamliel

Простите, что не ответил раньше.

$ dig +short ru.eu.org ns
NS3.KELTIA.NET.
NS.ANKH.FR.EU.ORG.
NS1.ERIOMEM.NET.
NS1.EU.ORG.
$ dig @ns3.keltia.net magrega.ru.eu.org ns

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @ns3.keltia.net magrega.ru.eu.org ns
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27699
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: c20b69013156ea2e4066380d5f25f57495cfb72820b55258 (good)
;; QUESTION SECTION:
;magrega.ru.eu.org. IN NS

;; AUTHORITY SECTION:
MAGREGA.RU.EU.ORG. 172800 IN NS MAGREGA.RU.EU.ORG.

;; ADDITIONAL SECTION:
MAGREGA.RU.EU.ORG. 172800 IN A 89.178.215.218

;; Query time: 41 msec
;; SERVER: 2001:19f0:5000:84c2::64#53(2001:19f0:5000:84c2::64)
;; WHEN: Вс авг 02 02:06:28 MSK 2020
;; MSG SIZE  rcvd: 121

$ dig @89.178.215.218 magrega.ru.eu.org soa

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @89.178.215.218 magrega.ru.eu.org soa
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

И?

Цитата: magrega от 26 июня 2020, 21:26:59Я верно понимаю, что адрес администратора здесь имеется в виду как контактный адрес, почта к примеру7
Во времена, когда в интернете все были свои, а спама не было, там указывали действительный адрес администратора. В наше время указывают либо действительный адрес администратора (как в старые добрые времена), либо заглушку вида root.localhost.; если не хотите указывать настоящий почтовый адрес, то лучше указать что-то вида root.localhost. (webmaster.localdomain. и т.п.), чтобы люди, захотевшие что-то сказать Вам о Вашей DNS-конфигурации, не тратили время на попытки послать почту по несуществующему адресу.

Цитата: magrega от 26 июня 2020, 21:26:59Не могу понять, как сделать вторичный днс. На обоих предложенных Вами сайтах я сталкиваюсь с ошибками при добавлении НС.
Исследуя вопрос, обнаружил, что gdnsd  не поддерживает AXFR. Для меня самого́ это неожиданность. Я бы вряд ли поверил, что это так, но главный разработчик gdnsd сам пишет: gdnsd doesn't have any zone transfer support (e.g. AXFR/IXFR). Следовательно, нужно использовать другой DNS-сервер.

Вот (по моим наблюдениям) потребление памяти разными серверами имён:

BIND:13.5M
gdnsd:1-1.7M
Knot:2.3-2.5M
MaraDNS:1.9M
NSD:114-118M
PowerDNS:1M
YADIFA:7-8M
Бросается в глаза большое потребление памяти NSD. Вероятно, он рассчитан только на высокие нагрузки.

BIND исторически первый сервер имён; уязвимости в нём находят едва ли не чаще, чем во всех остальных серверах имён, вместе взятых. MaraDNS когда-то был шедевром, но теперь проект почти закрыт.

Остаются Knot, PowerDNS и YADIFA. Выбор между ними требует дополнительного исследования. Некоторое время назад я изучил руководство по Knot. Шедевр! Даже несколько пугает безграничный перфекционизм разработчиков. Руководства по PowerDNS и YADIFA я пока не изучал.

Тут есть ещё один момент. Пожалуй, gdnsd — единственный сервер имён, оптимально настроенный «из коробки»; любой другой сервер имён без внимательного изучения и тщательной настройки может стать лёгкой добычей злоумышленников. Поэтому Вам будет лучше использовать непубликуемый первичный сервер имён: в качестве первичного (в SOA-записи) указать один из серверов имён BuddyNS (они это позволяют) и открыть 53 порт не для всего мира, а только для BuddyNS и puck.nether.net.

Цитата: magrega от 26 июня 2020, 21:26:59В качестве primary server ф пишу свой публичный айпи, а в качестве домена указываю eu.org. Верно ли это?
Нет. IP-адрес действительно указываете свой (89.178.215.218), и домен указываете свой (magrega.ru.eu.org).