Apache – 記下來

Certbot 申請 SSL certificate 錯誤問題

黃小蛙 — Mon, 21 Jun 2021 15:36:28 +0000

今天幫好友處理 Certbot 的問題，這伺服器上已經申請過一個，這次要申請另一個域名，卻怎麼樣都會出現「The client lacks sufficient authorization」的錯誤，試了一些時間總算完成。

Certbot 真的是個方便的東西，記得很久以前小蛙架部落格剛要轉 https 的時候，還要去 SSL for Free 網站手動申請及安裝(可參考這邊)，SSL for Free 的好處是申請 SSL 完全免費，但是有一個缺點是每三個月必須自己手動去更新(renew)，小蛙用了一段時間後發現，原來有 Certbot 這麼方便又好用的東西，之後有機會再來介紹這個，今天這篇只是要記錄使用 certbot 錯誤的解決方法。

是這樣的，在 Ubuntu 可以直接透過 certbot 申請 SSL 憑證，也包含了自動更新的功能，但是小蛙要申請一個新的網域的時候，卻發生了下列錯誤

root@lc:/home/sysadm# certbot certonly --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Which names would you like to activate HTTPS for?
 
1: mydomain.com
 
Select the appropriate numbers separated by commas and/or spaces, or leave input blank to select all options shown (Enter 'c' to cancel): 1

Obtaining a new certificate
Performing the following challenges:
http-01 challenge for mydomain.com
Waiting for verification…
Cleaning up challenges
Failed authorization procedure. mydomain.com (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://mydomain.com/.well-known/acme-challenge/xxxxxx [xxx.xxx.xxx.xxx]: "\n\n404 Not Found\n\n Not Found \n



裡面看到幾個關鍵「Failed authorization procedure」、「unauthorized」、「Invalid response from」、「The client lacks sufficient authorization」



第一直覺是檔案連不到，但直接連 http://mydomain.com/.well-known/acme-challenge/xxxxxx 又沒有問題，看到朋友的主機有一堆奇怪的 site 設定檔，先清一清看看，嗯 ~ 好，沒有反應，錯誤還是存在。



一直發生上面的錯誤，不斷測試不斷重試，結果得到下面的錯誤 … (嗚嗚嗚)



root@lc:/etc/apache2/sites-enabled# certbot --apache

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Which names would you like to activate HTTPS for?
 
 1: mydomain.com
 
Select the appropriate numbers separated by commas and/or spaces, or leave input blank to select all options shown (Enter 'c' to cancel): 1

Obtaining a new certificate
An unexpected error occurred:
  There were too many requests of a given type :: Error creating new order :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/
Please see the logfiles in /var/log/letsencrypt for more details.



進去錯誤訊息給的連結後，裡面有一段話寫著「我們還有網域驗證失敗限制，對於每個帳號每域名每小時 5 次的限制。在測試環境中並沒有那麼嚴格的限制，因此你可以使用測試環境來針對連線問題除錯。」



額外得知原來加了--dry-run就是測試環境，只會用來測試並不會真正儲存申請的憑證，而且限制比較沒那麼嚴格，如果是要測試為什麼申請失敗只要加上--dry-run，確定都沒有問題後才透過正式環境申請。小蛙這邊超過了每小時五次的限制，只能等到先用--dry-run來測試，等 unban 之後再到正式環境申請了。



經過重重困難後，決定一個參數一個參數試試看，於是試出了



root@lc:/var/www/html# certbot certonly --webroot -w /var/www/html/ -d mydomain.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for mydomain.com
Using the webroot path /var/www/html for all unmatched domains.
Waiting for verification…
Cleaning up challenges

IMPORTANT NOTES:
 Congratulations! Your certificate and chain have been saved at:
 /etc/letsencrypt/live/mydomain.com/fullchain.pem
 Your key file has been saved at:
 /etc/letsencrypt/live/mydomain.com/privkey.pem
 Your cert will expire on 2021-09-19. To obtain a new or tweaked
 version of this certificate in the future, simply run certbot
 again. To non-interactively renew all of your certificates, run
 "certbot renew"
 If you like Certbot, please consider supporting our work by:
 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le 



終於，加上了--webroot -w /var/www/html/之後就成功了 ~ 看起來可能是.well-known/acme-challenge/xxxxxxx的預設路徑不知道為什麼不在目前使用的目錄，導致驗證的時候會抓不到產生的驗證檔案而噴錯，加入該設定之後就完成了，這篇文章留給有需要的朋友 ~



網站架設系列文章：



盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
如何挑選 VPS + 最划算的買法
手把手教你如何購買 VPS
第一次買 KVM 虛擬主機
血的教訓 – HiFormance 跑路了 …
為自己申請一個域名 – HiNet 為例
Cloudflare – 超強大的免費 CDN (?)
使用 Cloudflare 代管你的域名
Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
Ubuntu 16.04 安裝 fail2ban
一個腳本每天自動備份
Linux tar 完整備份、增量備份及差異備份比較
nginx + SSL Certificate – 讓 http 變身成為 https
SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
Certbot 申請 SSL certificate 錯誤問題
Certbot 錯誤：ACMEv1 is deprecated and you can …
Ubuntu 18.04 安裝 AWStats 來統計網站流量
PCHome 買網址續約流程
這篇文章 Certbot 申請 SSL certificate 錯誤問題 最早出現於 記下來。

Ubuntu 18.04 安裝 AWStats 來統計網站流量

黃小蛙 — Sun, 20 Oct 2019 06:54:45 +0000

最近接到一個任務，要用 AWStats 統計流量，之前大多使用 Google Analytics，這次要求用 AWStats，很久以前有用過，但從來沒有自己架設過，這篇留個紀錄。

安裝 AWStats

sudo apt-get install awstats libgeo-ipfree-perl libnet-ip-perl

這邊應該沒有什麼問題，安裝就是了。

設定要統計的網站

# 把預設的 awstats.conf 複製一份出來改
sudo cp /etc/awstats/awstats.conf /etc/awstats/awstats.noter.tw.conf
# 編輯設定檔
sudo vim /etc/awstats/awstats.noter.tw.conf

安裝完之後在 /etc/awstats/ 下面會有一個預設設定檔 awstats.conf，直接複製出來改成 awstats.接上你的網址.conf，然後進入編輯。

要修改的部份小蛙直接參考 Awstats流量統計@Alvin Chen Club 的設定

# 要分析的 log 路徑，大概在 50 行左右
LogFile="/var/log/apache2/access.log"

# 記錄類別，維持不變 W = weblog，大概在 62 行
LogType=W

# 記錄格式，這邊小蛙的環境是 Apache2，維持 1 就好，也可以自己設定
# 大概在 123 行
LogFormat=1

# Domain，大概在 154 行
SiteDomain="noter.tw"

# 其他可連到主機的名稱，大概在 169 行
HostAliases="localhost 127.0.0.1"

AllowFullYearView=3
LoadPlugin="tooltips"
LoadPlugin="graphgooglechartapi"
LoadPlugin="geoipfree"

小蛙大概改了這些東西，好了之後存檔離開。

搬移排程檔

因為剛安裝的時候，會自動在 /etc/cron.d/ 下面建立一個 awstats，打開可以看到裡面已經設定了自動執行的排程，為了避免等一下我們設定統計資料的時候，這個排程造成干擾，因此先把它移動到其他地方。

# 把 awstats 排程檔移動到其他地方放，e.g. /root 目錄下
sudo mv /etc/cron.d/awstats /root
# 把 awstats 裡面原本建立的檔案都先刪掉
sudo rm /var/lib/awstats/*

手動執行

要知道設定檔能不能正確執行，就先手動跑一次囉！

sudo /usr/lib/cgi-bin/awstats.pl -config=noter.tw -update

這一步小蛙跑超久超久，期間還一直被中斷 … 因為小蛙總共要跑 5 份統計資料，花了不少時間在這邊測試，後來發現很簡單，只要搭配這篇 SSH 遠端登出後繼續執行

感謝同事翻到這篇文章，並且了小蛙跑超久的解決方案

分析速度很慢的問題把 DNSLookup 改成 0 應該就好了
官方文件有說
With DNSLookup enabled, log analyze speed is decreased by 40 to 100 times, so use it only if required

# 使用 screen
screen

# 要執行的指令
sudo /usr/lib/cgi-bin/awstats.pl -config=noter.tw -update

# 離開 screen
ctrl + a, d

這樣就會背景執行，突然斷線也不用擔心沒跑完，那要怎麼知道有沒有跑完呢？

# 查看所有 screen
screen -ls

# 連到特定 screen (xxxx 是上面 -ls 出現的數字)
screen -r xxxx

# 如果看到 Found xxxx new qualified records. 的字樣，就可以關閉 screen
ctrl + a, k

設定排程檔

跑完一次統計資料之後，就可以設定排程了，網路上看到的資料都是 10 分鐘跑一次，但是小蛙遇到的 case 跑一次要兩小時 … 十分鐘跑一次不就會後面卡一堆排程 … 在這邊花了一兩天測試。

除了跑很久的問題，還遇到指令的問題，例如這台主機已經有被其他人設定過 awstats，但是設定檔有問題造成無法正確執行；原本網站使用的/usr/lib/cgi-bin/awstats.pl -update無法執行 …

先把剛剛移去 /root 下面放的 awstats 排程檔案移到 /etc/cron.d 下面放

# 把排程檔移回
sudo mv /root/awstats /etc/cron.d

# 編輯排程檔
sudo vim /etc/cron.d/awstats

# 每天早上六點執行
0 6 * * * * root /usr/lib/cgi-bin/awstats.pl -config=noter.tw -update > /dev/null

小蛙的狀況如果沒有加上 -config=noter.tw 的話沒有辦法執行 Orz … 跟別人講的不一樣啊！總之加了好了，就加吧！想知道有沒有成功，可以先把運行時間調到三、五分鐘後，然後等他執行完再來看看有沒有。

設定可以透過瀏覽器瀏覽

編輯 /etc/apache2/site-enabled/awstats.conf 加入以下設定

Alias /awstatsclasses "/usr/share/awstats/lib/"
Alias /awstats-icon/ "/usr/share/awstats/icon/"
Alias /awstatscss "/usr/share/doc/awstats/examples/css"
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
ScriptAlias /awstats/ /usr/lib/cgi-bin/
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch

開啟模組，重啟 apache

因為 awstats 是用 cgi 跑的，要開啟這個模組，開啟後重啟 apache

sudo a2enmod cgi
sudo service apache2 restart

以上設定都沒問題的話，用瀏覽器開啟

http://你的網址/cgi-bin/awstats.pl?config=上面設定的網址

限制瀏覽

如果不想讓其他人看到這個頁面的話，就必須要加上這一步限制瀏覽 … 先透過以下指令建立可登入的使用者帳號及密碼

sudo htpasswd -c /etc/apache2/htpasswd 要登入的帳號

只要在剛剛編輯的 /etc/apache2/site-enabled/awstats.conf 加上


AuthUserFile /etc/apache2/htpasswd
AuthName "Please Enter Your Password"
AuthType Basic
Require valid-user

重新啟動 apache 就完成囉！

這篇文章 Ubuntu 18.04 安裝 AWStats 來統計網站流量最早出現於記下來。

Ubuntu 取消 Apache 2.4 的 TLSv1.0 教學

黃小蛙 — Fri, 03 May 2019 16:35:48 +0000

突然接到一個求救，資安掃描的時候掃出 TLSv1.0 應該要關閉的漏洞，就開始 Google 要怎麼設定，Apache 小蛙不熟，通常都是問題來一個找一個解一個，來兩個找兩個解一雙 ~ 這篇記錄留給有需要的人。

這問題直接丟 Google 會有很多很多一拖拉庫的解法，不過有些應該是 CentOS 或是其他版本的，小蛙看 Ubuntu 18.04 + Apache 2.4 的路徑在 /etc/apache2/，跟網路上很多教學裡提到的 /etc/httpd/ 不一樣，就 ~ 都試試看吧。

終於看到一篇好像不錯 Disabling TLS 1.0 on Apache web servers，嗯嗯，路徑不同，不過既然知道要修改的屬性名稱叫做「SSLProtocol」，那就到小蛙的目錄 /etc/apache2/ 來搜尋一下

$ cd /etc/apache2/
$ grep -ir "SSLProtocol" *
mods-available/ssl.conf:        SSLProtocol all -SSLv3

Bingo! 找到在模組資料夾中的 ssl.conf，動手改掉他吧！小蛙收到的需求是把 1.0 跟 1.1 關閉，保留 1.2 即可，因此把上面的 SSLProtocol all -SSLv3 改成 SSLProtocol TLSv1.2，改好之後 sudo service apache2 restart，立馬到 SSL Checker 測試看看，結果 … 竟然沒生效 @@

左查右查，會不會是上面的網站 cache 呢？下指令查查看

$ nmap --script ssl-enum-ciphers -p 443 ip或domain | grep TLSv
|   TLSv1.0:
|   TLSv1.1:
|   TLSv1.2:

我的天啊 ~ 真的沒生效 … (如果沒有安裝的話可以先 apt-get install nmap 來安裝這個套件)，查了很多 stackoverflow 終於找到這篇 Disabling TLS 1.0 in Apache 2.4，原來設定有成功，只是因為小蛙使用了 letsencrypt 的免費 SSL，造成 Apache 載入 SSL 設定的時候，會被較後面載入的 letsencrypt 設定檔蓋掉，因此前面的 ssl.conf 才會設定了但沒有效果。把剛剛上面的設定檔設定到 /etc/letsencrypt/options-ssl-apache.conf 看看吧！

$ nmap --script ssl-enum-ciphers -p 443 ip或domain | grep TLSv
|   TLSv1.2:

打完收工，太感謝 stackoverflow 的那個答案了，真的好想幫他按讚，可惜小蛙的積分不夠 >..<

這篇文章 Ubuntu 取消 Apache 2.4 的 TLSv1.0 教學最早出現於記下來。