Product SiteDocumentation Site

11.2. Server Web (HTTP)

Administrator Falcot Corp memutuskan untuk menggunakan server HTTP Apache, yang ada dalam Debian Bullseye pada versi 2.4.52.

ALTERNATIF Server web lain

Apache mungkin adalah server web yang paling terkenal, tetapi ada yang lain. Lawan utamanya adalah nginx, yang hadir dalam paket berbeda dengan serangkaian fitur berbeda, seperti nginx-light, nginx-full, atau nginx-extras. Alternatif lain adalah lighttpd. Semuanya dapat menawarkan kinerja yang sangat baik atau bahkan lebih baik di bawah beban kerja tertentu atau dalam situasi tertentu, tetapi tidak semua menyediakan jumlah fitur dan modul yang tersedia yang sama.

11.2.1. Memasang Apache

Memasang paket apache2 adalah semua yang diperlukan. Ini berisi semua modul, termasuk Multi-Processing Modules (MPM) yang mempengaruhi bagaimana Apache menangani pemrosesan paralel dari banyak permintaan, yang biasanya disediakan dalam paket terpisah apache2-mpm-*. Ini juga akan menarik apache2-utils yang mengandung utilitas baris perintah yang kita akan temui nanti.
MPM yang digunakan secara signifikan mempengaruhi cara Apache menangani permintaan bersamaan. Dengan MPM worker, itu menggunakan thread (proses ringan), sedangkan dengan MPM prefork itu menggunakan kumpulan proses yang dibuat terlebih dahulu. Dengan MPM event ini juga menggunakan thread, tapi koneksi yang tidak aktif (terutama yang terus dibuat terbuka dengan fitur HTTP keep-alive) diserahkan kembali ke manajemen thread yang terdedikasi.
Administrator Falcot juga memasang libapache2-mod-php untuk menyertakan dukungan PHP 7.4 di Apache. Hal ini menyebabkan MPM event baku dinonaktifkan, dan prefork digunakan sebagai gantinya. Untuk menggunakan MPM event seseorang dapat menggunakan php-fpm.

KEAMANAN Eksekusi di bawah pengguna www-data

Secara baku, Apache menangani permintaan masuk di bawah identitas pengguna www-data sebagaimana didefinisikan dalam /etc/apache2/envvars. Ini berarti bahwa kerentanan keamanan dalam skrip CGI yang dijalankan oleh Apache (untuk halaman dinamis) tidak akan membahayakan seluruh sistem, tetapi hanya berkas yang dimiliki oleh pengguna khusus ini.
Menggunakan modul suexec, yang disediakan oleh paket apache2-suexec-*, memungkinkan melewati aturan ini sehingga beberapa skrip CGI dijalankan di bawah identitas pengguna lain. Ini dikonfigurasi dengan direktif pengguna SuexecUserGroup kelompok dalam konfigurasi Apache.
Kemungkinan lain adalah dengan menggunakan MPM terdedikasi, seperti yang disediakan oleh libapache2-mpm-itk. Yang satu ini memiliki perilaku yang sedikit berbeda: ini memungkinkan "mengisolasi" host virtual (sebenarnya set halaman) sehingga mereka masing-masing berjalan sebagai pengguna yang berbeda. Kerentanan di satu situs web karena itu tidak bisa mengkompromi berkas milik pemilik situs web lain.

LIHAT SEKILAS Daftar modul

Daftar lengkap modul standar Apache dapat ditemukan daring.
→ https://httpd.apache.org/docs/2.4/mod/
Apache adalah server yang modular, dan banyak fitur dilaksanakan oleh modul eksternal yang dimuat oleh program utama saat inisialisasinya. Konfigurasi standar hanya memfungsikan modul-modul yang paling umum, tetapi memfungsikan modul cukup dengan menjalankan a2enmod modul; untuk menonaktifkan modul, perintahnya adalah a2dismod modul. Program ini benar-benar hanya membuat (atau menghapus) link simbolik di /etc/apache2/mods-enabled/ menunjuk pada file yang sebenarnya (yang disimpan dalam /etc/apache2/mods-available/).

DALAM PRAKTEK Memeriksa konfigurasi

Modul mod_info (a2enmod info) memungkinkan untuk mengakses konfigurasi dan informasi server Apache yang komprehensif melalui peramban dengan mengunjungi http://localhost/server-info. Karena mungkin berisi informasi sensitif, akses hanya diperbolehkan dari host lokal secara default.
→ https://httpd.apache.org/docs/2.4/mod/mod_info.html
Dengan konfigurasi bakunya, server web mendengarkan pada port 80 (seperti yang dikonfigurasi di /etc/apache2/ports.conf), dan menyajikan halaman dari direktori /var/www/html/ (seperti yang dikonfigurasi di /etc/apache2/sites-enabled/000-default.conf).

11.2.2. Menambahkan dukungan untuk SSL

Apache 2.4 termasuk modul SSL (mod_ssl) yang diperlukan untuk HTTP yang aman (HTTPS) secara baku. Hanya perlu diaktifkan dengan a2enmod ssl, kemudian direktif yang diperlukan harus ditambahkan ke berkas konfigurasi. Contoh konfigurasi tersedia di /etc/apache2/sites-available/default-ssl.conf.
→ https://httpd.apache.org/docs/2.4/mod/mod_ssl.html
Jika Anda ingin menghasilkan sertifikat terpercaya, Anda dapat mengikuti bagian Bagian 10.2.1, “Membuat sertifikat tepercaya yang gratis” dan kemudian menyesuaikan variabel berikut: 
SSLCertificateFile      /etc/letsencrypt/live/DOMAIN/fullchain.pem
SSLCertificateKeyFile   /etc/letsencrypt/live/DOMAIN/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/DOMAIN/chain.pem
SSLCACertificateFile    /etc/ssl/certs/ca-certificates.crt
Mesti lebih hati-hati jika Anda ingin lebih menyukai koneksi SSL dengan Perfect Forward Secrecy (koneksi-koneksi tersebut menggunakan kunci sesi ephemeral yang memastikan bahwa terungkapnya kunci rahasia server tidak mengakibatkan terungkapnya lalu lintas lama yang terenkripsi yang mungkin tersimpan ketika menguping pada jaringan). Silakan lihat pada rekomendasi Mozilla, khususnya:
→ https://wiki.mozilla.org/Security/Server_Side_TLS#Apache
Sebagai alternatif dari modul SSL standar, ada modul ekstensi bernama mod_gnutls, yang dikirimkan dengan paket libapache2-mod-gnutls dan diaktifkan dengan perintah a2enmod gnutls. Sayangnya versi yang dikemas untuk Debian memiliki masalah serius dan bahkan implikasi keamanan dan karenanya bukan bagian dari rilis Debian Bullseye.
→ https://mod.gnutls.org/

11.2.3. Mengonfigurasi Host Virtual

Suatu host virtual adalah identitas tambahan untuk server web.
Apache menganggap dua macam host virtual: yang didasarkan pada alamat IP (atau port), dan yang mengandalkan nama domain dari server web. Metode pertama memerlukan mengalokasikan alamat IP yang berbeda (atau port) untuk setiap situs, sedangkan yang kedua dapat bekerja pada satu alamat IP (dan port), dan situs dibedakan oleh nama host yang dikirim oleh klien HTTP (yang hanya bekerja di versi 1.1 dari protokol HTTP — untungnya versi tersebut sudah cukup tua sehingga semua klien sudah menggunakannya).
(Semakin) langkanya alamat IPv4 biasanya lebih mengarah ke metode kedua; namun, itu dibuat lebih kompleks jika host virtual perlu menyediakan HTTPS juga, karena protokol SSL tidak selalu disediakan untuk berbasis nama virtual hosting; ekstensi SNI (Server Name Indication) yang memungkinkan kombinasi tersebut tidak ditangani oleh semua browser. Ketika beberapa situs HTTPS perlu menjalankan pada server yang sama, mereka akan biasanya dibedakan baik dengan berjalan pada port lain atau pada alamat IP yang berbeda (IPv6 dapat membantu di sana).
Konfigurasi default untuk Apache 2 memfungsikan host virtual berbasis nama. Selain itu, sebuah host virtual default didefinisikan dalam berkas /etc/apache2/sites-enabled/000-default.conf; host virtual ini akan digunakan jika tidak ditemukan host yang cocok dengan permintaan yang dikirim oleh klien.

HATI-HATI Host virtual pertama

Permintaan mengenai host virtual yang tak dikenal akan selalu disajikan oleh host virtual yang pertama didefinisikan, itulah sebabnya mengapa kita definisikan www.falcot.com pertama di sini.

LIHAT SEKILAS Apache mendukung SNI

Server Apache mendukung ekstensi protokol SSL yang bernama Server Name Indication (SNI). Ekstensi ini memungkinkan peramban untuk mengirim nama host server web selama pembentukan sambungan SSL, jauh lebih awal daripada permintaan HTTP itu sendiri, yang sebelumnya digunakan untuk mengidentifikasi host virtual yang diminta di antara yang di-host pada server yang sama (dengan alamat IP dan port yang sama). Hal ini memungkinkan Apache untuk memilih sertifikat SSL yang paling tepat agar transaksi dapat berlanjut.
Sebelum SNI, Apache akan selalu menggunakan sertifikat yang didefinisikan dalam host virtual baku. Klien yang mencoba untuk mengakses host virtual lain kemudian akan menampilkan peringatan, karena sertifikat yang mereka terima tidak cocok dengan situs web mereka coba akses. Untungnya, sebagian besar peramban sekarang bekerja dengan SNI; ini termasuk Microsoft Internet Explorer mulai versi 7.0 (mulai pada Vista), Mozilla Firefox dimulai dengan versi 2.0, Apple Safari sejak versi 3.2.1 dan semua versi Google Chrome.
Paket Apache yang tersedia di Debian dibangun dengan dukungan untuk SNI; maka tidak ada konfigurasi tertentu yang diperlukan.
Masing-masing host virtual ekstra ini kemudian digambarkan oleh sebuah berkas yang disimpan dalam /etc/apache2/situs-available/. Maka menyiapkan sebuah situs web untuk domain falcot.org adalah cukup dengan sekedar membuat berkas berikut, kemudian memfungsikan host virtual dengan a2ensite www.falcot.org.

Contoh 11.13. Berkas /etc/apache2/sites-available/www.falcot.org.conf

<VirtualHost *:80>
ServerName   www.falcot.org
ServerAlias  falcot.org
DocumentRoot /srv/www/www.falcot.org
</VirtualHost>
Apache server, yang dikonfigurasi sejauh ini, menggunakan berkas log yang sama untuk semua host virtual (walaupun ini bisa diganti dengan menambahkan direktif CustomLog dalam definisi host virtual). Maka masuk akal untuk menyesuaikan format berkas log ini agar menyertakan nama host virtual. Ini dapat dilakukan dengan menciptakan sebuah berkas /etc/apache2/conf-available/customlog.conf yang menentukan format baru untuk semua berkas log (dengan direktif LogFormat) dan memfungsikannya dengan a2enconf customlog . Baris CustomLog harus juga akan dihapus (atau dijadikan komentar) dari berkas /etc/apache2/sites-available/000-default.conf.

Contoh 11.14. Berkas /etc/apache2/conf-available/customlog.conf

# Format log baru termasuk nama host (virtual)
LogFormat "%v %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" vhost

# Sekarang mari kita pakai format "vhost" ini secara baku
CustomLog /var/log/apache2/access.log vhost

11.2.4. Direktif Umum

Bagian ini mengulas secara singkat beberapa direktif konfigurasi Apache yang sering digunakan.
Berkas konfigurasi utama biasanya memuat beberapa blok Directory blok; mereka memungkinkan menentukan perilaku yang berbeda untuk server tergantung pada lokasi berkas yang diminta. Blok tersebut umumnya memuat direktif Options dan AllowOverride.

Contoh 11.15. Blok direktori

<Directory /srv/www>
Options Includes FollowSymlinks
AllowOverride All
DirectoryIndex index.php index.html index.htm
</Directory>
Direktif DirectoryIndex berisi daftar berkas yang akan dicoba ketika permintaan klien cocok dengan suatu direktori. Berkas pertama yang ada dalam daftar digunakan dan dikirim sebagai respon.
Direktif Options diikuti oleh daftar pilihan yang diaktifkan. Nilai None menonaktifkan semua pilihan; sejalan dengan itu, All memfungsikan mereka semua kecuali MultiViews. Pilihan yang tersedia meliputi:
  • ExecCGI menunjukkan bahwa skrip CGI dapat dijalankan.
  • FollowSymlinks memberitahu server bahwa taut simbolik dapat diikuti, dan bahwa respon harus berisi isi dari target taut tersebut.
  • SymlinksIfOwnerMatch juga memberitahu server untuk mengikuti taut simbolik, tetapi hanya bila taut dan target memiliki pemilik yang sama.
  • Includes memfungsikan Server Side Includes (disingkat SSI). Ini adalah direktif yang tertanam di halaman HTML dan dieksekusi sambil jalan untuk setiap permintaan.
  • IncludesNOEXEC memfungsikan Server Side Includes (SSI) tapi menonaktifkan perintah exec dan membatasi direktif include ke berkas teks/markup.
  • Indexes memberitahu server untuk memberikan daftar isi direktori jika permintaan HTTP yang dikirim oleh klien menunjuk ke direktori tanpa berkas indeks (yaitu, ketika tidak ada berkas yang disebutkan oleh direktif DirectoryIndex yang ada dalam direktori ini).
  • MultiViews memungkinkan negosiasi konten; ini dapat digunakan oleh server untuk mengembalikan halaman web yang cocok dengan bahasa pilihan sebagaimana dikonfigurasi dalam peramban.

KEMBALI KE DASAR berkas .htaccess

Berkas .htaccess berisi direktif konfigurasi Apache yang diberlakukan setiap kali suatu permintaan terkait dengan elemen dari direktori tempat itu disimpan. Lingkup direktif ini juga berlaku rekursif untuk semua subdirektori di dalamnya.
Sebagian besar direktif yang bisa muncul dalam blok Directory juga legal dalam berkas .htaccess.
Direktif AllowOverride mencantumkan semua pilihan yang dapat diaktifkan atau dinonaktifkan melalui berkas .htaccess. Penggunaan umum pilihan ini adalah untuk membatasi ExecCGI, sehingga administrator memilih pengguna yang diizinkan untuk menjalankan program di bawah identitas server web (pengguna www-data).

11.2.4.1. Memerlukan Otentikasi

Dalam beberapa keadaan, akses ke sebagian dari sebuah situs web harus dibatasi, jadi hanya pengguna sah yang memberikan nama pengguna dan kata sandi yang diberikan akses ke isi. Fitur ini disediakan oleh modul mod_auth* .

Contoh 11.16. berkas .htaccess yang memerlukan otentikasi

Require valid-user
AuthName "Private directory"
AuthType Basic
AuthUserFile /etc/apache2/authfiles/htpasswd-private

KEAMANAN Tidak ada keamanan

Sistem otentikasi yang digunakan dalam contoh di atas (Basic) memiliki keamanan minimal karena kata sandi dikirim dalam bentuk teks (hanya dikodekan sebagai base64, yang merupakan pengkodean sederhana, bukan suatu metode enkripsi). Juga harus dicatat bahwa dokumen-dokumen yang "dilindungi" oleh mekanisme ini juga pergi melalui jaringan dalam keadaan polos. Jika keamanan penting, seluruh sambungan HTTP harus dienkripsi dengan SSL.
Berkas /etc/apache2/authfiles/htpasswd-private berisi daftar pengguna dan kata sandi; itu umumnya dimanipulasi dengan perintah htpasswd. Sebagai contoh, perintah berikut digunakan untuk menambahkan pengguna atau mengubah sandi: 
# htpasswd /etc/apache2/authfiles/htpasswd-private user
New password:
Re-type new password:
Adding password for user user

11.2.4.2. Membatasi Akses

Direktif Require mengendalikan pembatasan akses untuk suatu direktori (dan subdirektorinya, secara rekursif).
→ https://httpd.apache.org/docs/2.4/howto/access.html
Dapat digunakan untuk membatasi akses berdasarkan kepada banyak kriteria; kita akan berhenti di menggambarkan pembatasan akses berdasarkan alamat IP dari klien, tapi itu bisa dibuat jauh lebih kuat daripada itu, terutama ketika beberapa direktif Require digabung dalam sebuah blok RequireAll.

Contoh 11.17. Hanya mengizinkan dari jaringan lokal

Require ip 192.168.0.0/16

ALTERNATIF Sintaks lama

Sintaks Require hanya tersedia di Apache 2.4 (versi yang tersedia sejak Jessie). Untuk pengguna Wheezy, sintaks Apache 2.2 berbeda, dan kami menjelaskan di sini hanya untuk referensi, walaupun itu juga dapat dibuat tersedia di Apache 2.4 menggunakan modul mod_access_compat.
Direktif Allow from dan Deny from mengendalikan pembatasan akses untuk suatu direktori (dan subdirektorinya, secara rekursif).
Direktif Order memberitahu server dari urutan atas direktif Allow from dan Deny from diterapkan; yang terakhir cocok didahulukan. Secara konkret, Order deny,allow memungkinkan akses jika tidak ada Deny from yang berlaku, atau jika sebuah direktif Allow from berlaku. Sebaliknya, Order allow,deny menolak akses jika tidak ada direktif Allow from yang cocok (atau jika direktif Deny from berlaku).
Direktif Allow from dan Deny from dapat diikuti oleh sebuah alamat IP, suatu jaringan (seperti 192.168.0.0/255.255.255.0, 192.168.0.0/24, atau bahkan 192.168.0 ), nama host atau nama domain, atau kata kunci all, yang berlaku untuk semua.
Misalnya, untuk menolak koneksi secara default, tetapi memungkinkan mereka dari jaringan lokal, Anda bisa menggunakan ini: 
Order deny,allow
Allow from 192.168.0.0/16
Deny from all

11.2.5. Penganalisis Log

Penganalisis log sering dipasang pada sebuah server web; karena memberi administrator gambaran yang presisi atas pola penggunaan server.
Para administrator Falcot Corp memilih AWStats (Advanced Web Statistics), untuk menganalisis berkas log Apache mereka.
Langkah konfigurasi pertama adalah penyesuaian berkas /etc/awstats/awstats.conf. Para administrator Falcot mempertahankannya kecuali parameter berikut: 
LogFile="/var/log/apache2/access.log"
LogFormat = "%virtualname %host %other %logname %time1 %methodurl %code %bytesd %refererquot %uaquot"
SiteDomain="www.falcot.com"
HostAliases="falcot.com REGEX[^.*\.falcot\.com$]"
DNSLookup=1
LoadPlugin="tooltips"
Semua parameter ini didokumentasikan oleh komentar dalam berkas templat. Secara khusus, parameter LogFile dan LogFormat menggambarkan lokasi dan format berkas log dan informasi di dalamnya; SiteDomain dan HostAliases berisi daftar berbagai nama yang dipakai oleh situs web utama.
Untuk situs lalu lintas tinggi, DNSLookup biasanya tidak diatur ke 1; untuk situs kecil, seperti Falcot yang dijelaskan di atas, pengaturan ini memungkinkan mendapatkan laporan yang lebih mudah dibaca yang meliputi nama-nama lengkap mesin bukan alamat IP mentah.

KEAMANAN Akses ke statistik

AWStats membuat statistik yang tersedia di situs web tanpa batasan secara default, tetapi pembatasan dapat diatur sehingga (mungkin) hanya beberapa alamat IP (internal) yang dapat mengaksesnya; daftar alamat IP yang diperbolehkan perlu didefinisikan dalam parameter AllowAccessFromWebToFollowingIPAddresses
AWStats juga akan diaktifkan untuk host virtual lain; masing-masing host virtual perlu memiliki berkas konfigurasi tersendiri, seperti misalnya /etc/awstats/awstats.www.falcot.org.conf.

Contoh 11.18. Berkas konfigurasi AWStats untuk sebuah host virtual

Include "/etc/awstats/awstats.conf"
SiteDomain="www.falcot.org"
HostAliases="falcot.org"
AWStats menggunakan banyak ikon yang disimpan dalam direktori /usr/share/awstats/ikon/. Agar ikon ini akan tersedia di situs web, konfigurasi Apache perlu disesuaikan untuk menyertakan direktif berikut (lihat /usr/share/doc/awstats/examples/apache.conf untuk contoh yang lebih rinci): 
Alias /awstats-icon/ /usr/share/awstats/icon/
Setelah beberapa menit (dan setelah skrip dijalankan beberapa kali), hasil tersedia daring:
→ http://www.falcot.com/cgi-bin/awstats.pl
→ http://www.falcot.org/cgi-bin/awstats.pl

HATI-HATI Rotasi berkas log

Agar statistik memperhitungkan semua log, AWStats perlu dijalankan tepat sebelum berkas log Apache tersebut diputar. Melihat direktif prerotate dari berkas /etc/logrotate.d/apache2, ini dapat diselesaikan oleh paket awstats dengan meletakkan suatu skrip dalam /etc/logrotate.d/ httpd-prerotate yang menjalankan /usr/share/awstats/tools/update.sh.
Perhatikan juga bahwa berkas log yang dibuat oleh logrotate harus dapat dibaca oleh semua orang, terutama AWStats. Ini dipastikan dengan mengubah /etc/logrotate.d/apache2 untuk menyertakan create 644 root adm (bukan izin 640 baku) misalnya. Tapi silakan merujuk ke /usr/share/doc/awstats/README.Debian.gz untuk dokumentasi yang lebih luas tentang topik dan alternatif ini.