Webové servery Turrisu neposlouchají na IPv6

Dne 2014-03-28 10:39 Hlasů 1

Nevím, jestli jde o bug nebo feature, ale jak Foris prostřednictvím Lighttpd tak LuCI prostřednictvím uhttpd neposlouchají na IPv6 socketu.

V případě Forise je to možné opravit přidáním řádku:
$SERVER["socket"] == "[::]:80" { }
do souboru /etc/lighttpd/lighttpd.conf

V případě uhttpd pak přidáním:
list listen_http '[::]:8080'
do /etc/config/uhttpd

Mimochodem, docela by mě zajímalo, co vedlo vývojáře k používání dvou různých webserverů zároveň. Chápu že Foris potřebuje FastCGI, které uhttpd nenabízí, ale logické řešení by bylo pustit v Lighttpd i LuCI, kterému stačí obyčejné CGI. Paměti má Turris sice dost, ale tohle mi připadá jako zbytečné plýtvání (nehledě na nepohodlí při používání portu 8080).

Od Bedřich Košata

Dne 2014-03-31 15:07

Máš pravdu, že to není optimální z hlediska využití paměti, atp., ale ukázalo se to jako optimální z hlediska času vývoje ;) Sloučení obou služeb pod jeden http server máme v plánu, ale nemá to tak vysokou prioritu jako jiné části projektu.

Od CIJOML

Dne 2014-04-24 12:57

Zdravim,

dneska jsem si pohral a obe sluzby jsem sloucil pod lighttpd a to takto:

$SERVER["socket"] == "192.168.1.1:8080" {
server.document-root = "/www"
cgi.assign = ( "cgi-bin/luci" => "" )
}

$SERVER["socket"] == "192.168.1.1:80" {
fastcgi.debug = 0
fastcgi.server = (
"/" => (
"python-fcgi" => (
"socket" => "/tmp/fastcgi.python.socket",
"bin-path" => var.python + " " + var.foris.dir + "/foris.py " + var.foris.flags,
"fix-root-scriptname" => "enable", # required for extension "/"
"check-local" => "disable",
"max-procs" => 1,
)
)
)
}

je jeste potreba nainstalovat mod_cgi z balicku
lighttpd-mod-cgi

Od Jan Čermák (>>)

Dne 2014-04-24 13:18

Snad Vás nezklame, že v updatu, který vyšel zhruba před čtvrthodinou, jsme již tohle vyřešili. Konfigurační soubor pro lighttpd se zřejmě v důsledku Vašeho zásahu nepřepíše a vytvoří se konfigurační soubor z balíku se sufixem -opkg. Aby fungovaly odkazy na LuCI z Forisu, budete jím muset ručně nahradit Vámi upravený soubor.

Od CIJOML

Dne 2014-04-24 13:25

No stejne si ho musim ohekovat protoze na venkovni 80 potrebuji jiny web obsah nez na vnitrni. proto jedu socket s ip:port :)

Od Ondřej Caletka (>>>)

Dne 2014-05-27 14:25 Hlasů 1

Tak právě přišla aktualizace, která zavádí podporu HTTPS pro webové služby, a její konfigurace opět trpí výše popsaným problémem.

Správné nastavení SSL pro Lighttpd je přitom popsané v dokumentaci a už jsem tu o něm jednou psal.
Když přidáme doporučenou konfiguraci šifrování podle bettercrypto.org, měl by soubor /etc/lighttpd/conf.d/ssl-enable.conf vypadat takto:


# This settings enables https with user-generated self-signed certificate from
# package https-cert

$SERVER["socket"] == "0.0.0.0:443" {
        ssl.engine = "enable"
        ssl.pemfile = "/etc/lighttpd-self-signed.pem"
        ssl.use-sslv2 = "disable"
        ssl.use-sslv3 = "disable"
        ssl.cipher-list = "EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA"
        ssl.honor-cipher-order = "enable"
}

$SERVER["socket"] == "[::]:443" {
        ssl.engine = "enable"
        ssl.pemfile = "/etc/lighttpd-self-signed.pem"
        ssl.use-sslv2 = "disable"
        ssl.use-sslv3 = "disable"
        ssl.cipher-list = "EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA"
        ssl.honor-cipher-order = "enable"
}

Teď už jen zbývá jít na StartSSL a vygenerovat skutečný certifikát :)