{"id":6088,"date":"2019-09-30T08:20:00","date_gmt":"2019-09-30T06:20:00","guid":{"rendered":"https:\/\/www.commander1024.de\/wordpress\/?p=6088"},"modified":"2020-04-17T09:09:53","modified_gmt":"2020-04-17T07:09:53","slug":"secure-webhosting-1x1","status":"publish","type":"post","link":"https:\/\/www.commander1024.de\/wordpress\/2019\/09\/secure-webhosting-1x1\/","title":{"rendered":"(Secure) Webhosting 1\u00d71"},"content":{"rendered":"\n

Dieser Artikel zeigt wie man auf Basis von einem Debian Linux einen Shared-Webhosting Server aufsetzt und konfiguriert. Der Fokus wird hierbei auf der Sicherheit liegen. So sollen nur moderne Verschl\u00fcsselungstechnologien (wie TLS1.3 \/ TLS 1.2 mit PFS und modernen Crypto-ciphern) zum Einsatz kommen. Die einzelnen Webpr\u00e4senzen werden voneinander isoliert laufen. Die Zertifikate werden kostenlos und automatisch von Let’s Encrypt<\/a> ausgestellt. <\/p> \n\n\n\n\n\n

Installation des Grundsystems<\/h2>\n\n\n\n

Vermutlich wird der Server \/ die VM \/ der Raspberry Pi bereits existieren, wenn Du Dir Gedanken zu Webhosting machst. Daher werde ich auch keine Step-by-Step Anleitung f\u00fcr eine Debian (10\/Buster) Installation geben. Dieser Guide funktioniert nat\u00fcrlich auch mit jedem anderen Linux \/ BSD Derivat. Unterschiede gibt es m\u00f6glicherweise bei der Ordnerstruktur der von der Paketverwaltung installierten Konfigurationsdateien und den genauen Versionen der Pakete. <\/p> \n\n\n\n

\"Debian<\/a><\/figure>\n\n\n\n

Bei der Installation von Debian Buster brauchen wir uns noch nicht darum zu k\u00fcmmern, welche Softwarepakete wir sp\u00e4ter ben\u00f6tigen. Eine Grundinstallation mit den Software-Sammlungen „SSH Server“ und „Standard-Systemwerkzeuge“ reicht vollkommen als Grundlage. <\/p> \n\n\n\n

Ben\u00f6tigte Komponenten<\/h3>\n\n\n\n

Ich muss zugeben, ich werde nicht nur langsam alt, sondern bin auch etwas oldschool in meiner Softwarepr\u00e4ferenz. So verwende ich tats\u00e4chlich bis zum heutigen Tage gerne den Apache Webserver. Und wegen seiner \u00c4hnlichkeit in der Konfiguration auch den ProFTPd f\u00fcr den Dateizugriff via FTPS. Beides sind vergleichsweise fette und langsame Softwareprodukte, daf\u00fcr aber sehr m\u00e4chtig zu konfigurieren. Da die Hauptworkload allerdings auf den Code-Interpreter und die Datenbank entfallen werden, kann man die Webservergeschwindigkeit schon fast vernachl\u00e4ssigen. <\/p> \n\n\n\n

Nat\u00fcrlich kann man auch einen nginx oder lighttpd oder auch ganz was Anderes verwenden, dann wird sich die Konfiguration in Nuancen unterscheiden. <\/p> \n\n\n\n

PHP, wie viele es sicherlich benutzen wollen, hole ich von sury.org<\/a>, da diese Pakete deutlich aktueller sind als im Debian Repository. Als process manager verwende ich php-fpm. <\/p> \n\n\n\n

Als Datenbank verwende ich MariaDB. Postgres geht nat\u00fcrlich auch. Man k\u00f6nnte sie sogar parallel betreiben, allerdings d\u00fcrfte dies bei gro\u00dfen Datenbanken etwas speicherhungrig werden, wenn die Ressourcen knapp sind. <\/p> \n\n\n\n

Webhosting-Software installieren<\/h2>\n\n\n\n

Zuerst einmal werden alle sp\u00e4ter ben\u00f6tigten Paketquellen und Pakete installiert: <\/p> \n\n\n

root@debian:~# apt -y install apt-transport-https lsb-release ca-certificates<\/span>\nroot@debian:~# wget -O \/etc\/apt\/trusted.gpg.d\/php.gpg https:\/\/packages.sury.org\/php\/apt.gpg<\/span>\nroot@debian:~# sh -c 'echo \"deb https:\/\/packages.sury.org\/php\/ $(lsb_release -sc) main\" > \/etc\/apt\/sources.list.d\/php.list'<\/span>\nroot@debian:~# apt update<\/span>\nroot@debian:~# apt upgrade<\/span>\nroot@debian:~# apt install apache2 apache2-utils acmetool mariadb-server mariadb-client php7.3-bcmath php7.3-cgi php7.3-cli php7.3-common php7.3-curl php7.3-fpm php7.3-gd php7.3-imap php7.3-intl php7.3-json php7.3-mbstring php7.3-mysql php7.3-opcache php7.3-pspell php7.3-readline php7.3-xml php7.3-zip ccze proftpd<\/span><\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n
Software konfigurieren<\/h2>\n\n\n\n
Apache2 konfigurieren<\/h3>\n\n\n\n
Fr\u00fcher musste man f\u00fcr das (nach wie vor nicht threadsichere) PHP den mpm-prefork verwenden. Dieses Vorgehen ist leider sehr ressourcenhungrig. Insbesondere der RAM wird hierbei exzessiv genutzt. <\/p> \n\n\n\n
Verwendete man dann jedoch PHP im fastcgi \/ FPM Modus, lautete die Empfehlung lange Zeit den mpm-worker zu verwenden. Neu seit Apache 2.4 ist der mpm-event handler. Dieser macht im Prinzip das gleiche wie der worker, soll aber noch h\u00f6here Arbeitslasten bew\u00e4ltigen k\u00f6nnen und wird somit auch empfohlen. <\/p> \n\n\n\n
Apache Webserver Module aktivieren<\/h4>\n\n\n\n
Ferner aktivieren wir noch einige zus\u00e4tzliche Module, die wir sp\u00e4ter noch ben\u00f6tigen. <\/p> \n\n\n
root@debian:~# a2enmod rewrite mpm_event http2 proxy_fcgi proxy ssl headers<\/span>\nEnabling module rewrite.\nConsidering conflict mpm_worker for<\/span> mpm_event:\nConsidering conflict mpm_prefork for<\/span> mpm_event:\nModule mpm_event already enabled\nEnabling module http2.\nConsidering dependency proxy for<\/span> proxy_fcgi:\nEnabling module proxy.\nEnabling module proxy_fcgi.\nModule proxy already enabled\nConsidering dependency setenvif for<\/span> ssl:\nModule setenvif already enabled\nConsidering dependency mime for<\/span> ssl:\nModule mime already enabled\nConsidering dependency socache_shmcb for<\/span> ssl:\nEnabling module socache_shmcb.\nEnabling module ssl.\nSee \/usr\/share\/doc\/apache2\/README.Debian.gz on how to configure SSL and<\/span> create self<\/span>-signed certificates.\nEnabling module headers.\nTo activate the new<\/span> configuration, you need to run:\n  systemctl restart apache2\nroot@debian:~# systemctl restart apache2<\/span><\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n
\"Debian<\/figure>
\n
Jetzt lauscht der Webserver bereits auf allen (IPv4\/IPv6) IPs und liefert die Debian\/Apache2 landing page aus. Allerdings brauchen wir diese nicht, und deaktivieren sie daher.  <\/p> \n<\/div><\/div>\n\n\n
root@debian:~# a2dissite 000-default<\/span>\nroot@debian:~# a2dissite default-ssl<\/span><\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n
NameVirtualHost konfigurieren<\/h4>\n\n\n\n
Au\u00dferdem soll er nur auf den vorgesehenen IPs Webseiten ausliefern. Daher erstellen wir die Datei \/etc\/apache2\/conf.d\/namevirtualhost.conf<\/code> mit folgendem Inhalt: <\/p> \n\n\n
NameVirtualHost<\/span> 10.222<\/span>.3<\/span>.52<\/span>:80<\/span>\nNameVirtualHost<\/span> 10.222<\/span>.3<\/span>.52<\/span>:443<\/span>\nNameVirtualHost<\/span> 2a02<\/span>:f08<\/span>:e<\/span>:1344<\/span>:a00<\/span>:27ff<\/span>:fe05<\/span>:6023<\/span>:80<\/span>\nNameVirtualHost<\/span> 2a02<\/span>:f08<\/span>:e<\/span>:1344<\/span>:a00<\/span>:27ff<\/span>:fe05<\/span>:6023<\/span>:443<\/span><\/code><\/span>Code-Sprache:<\/span> CSS<\/span> (<\/span>css<\/span>)<\/span><\/small><\/pre>\n\n\n
TLS h\u00e4rten<\/h4>\n\n\n\n
Hierzu die Datei \/etc\/apache2\/mods-available\/ssl.conf<\/code> bearbeiten: <\/p> \n\n\n
<IfModule mod_ssl.c>\n\t# Pseudo Random Number Generator (PRNG):<\/span>\n\t# Configure one or more sources to seed the PRNG of the SSL library.<\/span>\n\t# The seed data should be of good random quality.<\/span>\n\t# WARNING! On some platforms \/dev\/random blocks if not enough entropy<\/span>\n\t# is available. This means you then cannot use the \/dev\/random device<\/span>\n\t# because it would lead to very long connection times (as long as<\/span>\n\t# it requires to make more entropy available). But usually those<\/span>\n\t# platforms additionally provide a \/dev\/urandom device which doesn't<\/span>\n\t# block. So, if available, use this one instead. Read the mod_ssl User<\/span>\n\t# Manual for more details.<\/span>\n\t#<\/span>\n\tSSLRandomSeed startup builtin\n\tSSLRandomSeed startup file:\/dev\/urandom 512<\/span>\n\tSSLRandomSeed connect builtin\n\tSSLRandomSeed connect file:\/dev\/urandom 512<\/span>\n\t##<\/span>\n\t##  SSL Global Context<\/span>\n\t##<\/span>\n\t##  All SSL configuration in this context applies both to<\/span>\n\t##  the main server and all SSL-enabled virtual hosts.<\/span>\n\t##<\/span>\n\t#<\/span>\n\t#   Some MIME-types for downloading Certificates and CRLs<\/span>\n\t#<\/span>\n\tAddType application\/x-x509-ca-cert .crt\n\tAddType application\/x-pkcs7-crl\t.crl\n\t#   Pass Phrase Dialog:<\/span>\n\t#   Configure the pass phrase gathering process.<\/span>\n\t#   The filtering dialog program (`builtin' is a internal<\/span>\n\t#   terminal dialog) has to provide the pass phrase on stdout.<\/span>\n\tSSLPassPhraseDialog  exec:\/usr\/share\/apache2\/ask-for<\/span>-passphrase\n\t#   Inter-Process Session Cache:<\/span>\n\t#   Configure the SSL Session Cache: First the mechanism <\/span>\n\t#   to use and second the expiring timeout (in seconds).<\/span>\n\t#   (The mechanism dbm has known memory leaks and should not be used).<\/span>\n\tSSLSessionCache\t\tshmcb:${APACHE_RUN_DIR}\/ssl_scache(512000<\/span>)\n\tSSLSessionCacheTimeout  300<\/span>\n\t#   Semaphore:<\/span>\n\t#   Configure the path to the mutual exclusion semaphore the<\/span>\n\t#   SSL engine uses internally for inter-process synchronization. <\/span>\n\t#   (Disabled by default, the global Mutex directive consolidates by default<\/span>\n\t#   this)<\/span>\n\t#Mutex file:${APACHE_LOCK_DIR}\/ssl_mutex ssl-cache<\/span>\n\t#   SSL Cipher Suite:<\/span>\n\t#   List the ciphers that the client is permitted to negotiate. See the<\/span>\n\t#   ciphers(1) man page from the openssl package for list of all available<\/span>\n\t#   options.<\/span>\n\t#   Enable only secure ciphers:<\/span>\n\tSSLCipherSuite EECDH+AESGCM:EDH+AESGCM\n\t\n\tSSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1\n\t# SSL server cipher order preference:<\/span>\n\t# Use server priorities for cipher algorithm choice.<\/span>\n\t# Clients may prefer lower grade encryption.  You should enable this<\/span>\n\t# option if you want to enforce stronger encryption, and can afford<\/span>\n\t# the CPU cost, and did not override SSLCipherSuite in a way that puts<\/span>\n\t# insecure ciphers first.<\/span>\n\t# Default: Off<\/span>\n\tSSLHonorCipherOrder on\n\t#   The protocols to enable.<\/span>\n\t#   Available values: all, SSLv3, TLSv1, TLSv1.1, TLSv1.2<\/span>\n\t#   SSL v2  is no longer supported<\/span>\n\tSSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1<\/span>\n\t#   Allow insecure renegotiation with clients which do not yet support the<\/span>\n\t#   secure renegotiation protocol. Default: Off<\/span>\n\t#SSLInsecureRenegotiation on<\/span>\n\t#   Whether to forbid non-SNI clients to access name based virtual hosts.<\/span>\n\t#   Default: Off<\/span>\n\tSSLStrictSNIVHostCheck On\n\t\n\tHeader always set Strict-Transport-Security \"max-age=63072000; includeSubDomains; preload\"<\/span>\n#\tProblems with (i)frames<\/span>\n#\tHeader always set X-Frame-Options DENY<\/span>\n#\tHeader always set X-Content-Type-Options nosniff<\/span>\n\t# Requires Apache >= 2.4<\/span>\n\tSSLCompression off\n\tSSLUseStapling on\n\tSSLStaplingCache \"shmcb:logs\/stapling-cache(150000)\"<\/span>\n\t# Requires Apache >= 2.4.11<\/span>\n\tSSLSessionTickets Off\n<\/IfModule><\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n
http2 konfigurieren<\/h4>\n\n\n\n
Um http2 sinnvoll einzurichten, bearbeite ich die Datei \/etc\/apache2\/mods-available\/http2.conf<\/code> und \u00e4ndere ihren Inhalt zu: <\/p> \n\n\n
# enable http2 for http and https<\/span>\nProtocols h2 h2c http\/1.1<\/span>\n# configure push<\/span>\nH2Push          on\nH2PushPriority  *                       after\nH2PushPriority  text\/css                before\nH2PushPriority  image\/jpeg              after   32<\/span>\nH2PushPriority  image\/png               after   32<\/span>\nH2PushPriority  application\/javascript  interleaved<\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n
Benutzer anlegen<\/h4>\n\n\n\n
Soll der Server das Webhosting f\u00fcr mehrere Webpr\u00e4senzen \u00fcbernehmen, empfiehlt es sich, diese unter eigenen Benutzern laufen zu lassen. <\/p> \n\n\n
root@debian:~# adduser --home \/var\/www\/www.theinterwebz.de\/docs --group --system web1<\/span>\nroot@debian:~# adduser web1 www-data<\/span>\nroot@debian:~# chown -R web1:web1 \/var\/www\/www.theinterwebz.de\/docs\/<\/span><\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n
https-redirect konfigurieren<\/h4>\n\n\n\n
F\u00fcr die Weiterleitung von http:\/\/\u2026 auf https:\/\/\u2026 lege ich eine allgemeine Config-Datei an, die ich je nach Bedarf in VHosts inkludieren kann. <\/p> \n\n\n\n
\/etc\/apache2\/conf-available\/https-redirect.conf<\/code> <\/p> \n\n\n
<IfModule<\/span> mod_rewrite.c<\/span>><\/span>\n\tRewriteEngine On\n\tRewriteCond %{REQUEST_URI} !^\/\\.well\\-known\/acme\\-challenge\/\n\tRewriteCond %{HTTPS} off [OR]\n\tRewriteCond %{HTTP_HOST} !^www\\. [NC]\n\tRewriteCond %{HTTP_HOST} ^(?:www\\.)?(.+)$ [NC]\n\tRewriteRule ^ https:\/\/www.%1%{REQUEST_URI} [R=301,L]\n<\/IfModule<\/span>><\/span><\/code><\/span>Code-Sprache:<\/span> HTML, XML<\/span> (<\/span>xml<\/span>)<\/span><\/small><\/pre>\n\n\n
VirtualHost anlegen<\/h4>\n\n\n\n
Der Webserver ist nun weitgehend fertig konfiguriert, lediglich die VirtualHosts fehlen noch. Ich erstelle hier gerne jeweils einen f\u00fcr http:\/\/ und einen f\u00fcr https:\/\/ und inkludiere die eigentliche, innere Konfiguration ausschlie\u00dflich im SSL-VHost. <\/p> \n\n\n\n
\/etc\/apache2\/sites-available\/www.theinterwebz.de.conf<\/code> <\/p> \n\n\n
<VirtualHost<\/span> 10.222.3.52:80<\/span> 2a02:f08:e:1344:a00:27ff:fe05:6023:80<\/span>><\/span>\n   ServerName www.theinterwebz.de\n   ServerAlias theinterwebz.de\n\n  IncludeOptional conf-available\/https-redirect.conf\n\n\tErrorLog \/var\/log\/apache2\/www.theinterwebz.de.error.log\n\tCustomLog \/var\/log\/apache2\/www.theinterwebz.de.access.log combined\n<\/VirtualHost<\/span>><\/span><\/code><\/span>Code-Sprache:<\/span> HTML, XML<\/span> (<\/span>xml<\/span>)<\/span><\/small><\/pre>\n\n\n
Wie man sieht, macht dieser VHost nichts anderes, als von der aufgerufenen URL zu https:\/\/ samt aller Parameter umzuleiten – es sei denn, es wird eine Datei aus „\/.well-known\/acme-challenge\/“ angefragt. Dann wird die Datei ausgeliefert. Ein Code Interpreter kann im http:\/\/ VHost nicht aufgerufen werden. <\/p> \n\n\n\n
Beim SSL-VHost m\u00fcssen wir die Pfade f\u00fcr die Let’s Encrypt Zertifikate noch antizipieren, diese erstellen wir gleich erst. Daher aktivieren wir bis dahin auch nur den unverschl\u00fcsselten. <\/p> \n\n\n\n
\/etc\/apache2\/sites-available\/www.theinterwebz.de-ssl.conf<\/code> <\/p> \n\n\n
<VirtualHost 10.222<\/span>.3<\/span>.52<\/span>:443<\/span> 2<\/span>a02:f08:e:1344<\/span>:a00:27<\/span>ff:fe05:6023<\/span>:443<\/span>>\n\tSSLCertificateFile      \/var<\/span>\/lib\/acme\/live\/www.theinterwebz.de\/cert\n\tSSLCertificateKeyFile   \/var<\/span>\/lib\/acme\/live\/www.theinterwebz.de\/privkey\n\tSSLCertificateChainFile \/var<\/span>\/lib\/acme\/live\/www.theinterwebz.de\/chain\n\tSSLOptions StrictRequire\n\tSSLEngine On\n\t<IfModule mod_headers.c>\n\t\tHeader always set Strict-Transport-Security \"max-age=15768000; includeSubDomains; preload\"<\/span>\n\t<\/IfModule>\n\t\n\tInclude<\/span> \/etc\/apache2\/sites-available\/www.theinterwebz.de-base.conf\n\tErrorLog \/var<\/span>\/log\/apache2\/www.theinterwebz.de.error.log\n\tCustomLog \/var<\/span>\/log\/apache2\/www.theinterwebz.de.access.log combined\n<\/VirtualHost><\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n
Im https:\/\/ VHost definiere ich einen ProxyHandler, der auf den UNIX-Socket (oder wahlweise TCP-Socket an localhost) des PHP-FPM weist. Dateien deren Endung mit „php“ beginnt, werden an diesen weitergeleitet. Sollen statt PHP, Python oder cgi-Skripte ausgef\u00fchrt werden, muss der Passus entsprechend angepasst werden. Au\u00dferdem setze ich noch einen „lustigen“ HTTP-X-Header, den niemand sehen wird – es sei denn er inspiziert die HTTP-Header <\/span> <\/p> \n\n\n\n
\/etc\/apache2\/sites-available\/www.theinterwebz.de-base.conf<\/code> <\/p> \n\n\n
\tServerAdmin admin@theinterwebz.de\n\t\n\tServerName www.theinterwebz.de\n\tServerAlias theinterwebz.de\n\t\n\tDirectoryIndex index.htm index.html index.php\n\tDocumentRoot \/var<\/span>\/www\/www.theinterwebz.de\/docs\/\n\t<Directory \/>\n\t\tOptions FollowSymLinks\n\t\tAllowOverride None\n\t<\/Directory>\n\t\n\t<Directory \/var<\/span>\/www\/www.theinterwebz.de\/docs\/>\n\t\tOptions -Indexes +FollowSymLinks +MultiViews +Includes\n\t\tAllowOverride All\n\t\tOrder allow,deny\n\t\tallow from all\n\t<\/Directory>\n\t<IfModule mod_proxy_fcgi.c>\n\t\t<Proxy \"unix:\/var\/run\/php\/php7.3-fpm-theinterwebz.sock|fcgi:\/\/php7.3-fpm-theinterwebz\"<\/span>>\n\t\t\t# we must declare a (any) parameter in here <\/span>\n\t\t\t# or it won't register the proxy ahead of time<\/span>\n\t\t\tProxySet connectiontimeout=5<\/span> timeout=180<\/span>\n\t\t<\/Proxy>\n\t\t<FilesMatch \".+\\.php$\"<\/span>>\n\t\t\tSetHandler proxy:fcgi:\/\/php7.3-fpm-theinterwebz<\/span>\n\t\t<\/FilesMatch>\n\t<\/IfModule>\n\t<IfModule mod_headers.c>\n\t\tHeader always set X-CATS \"All your base are belong to us\"<\/span>\n\t<\/IfModule>\n\t# Possible values include: debug, info, notice, warn, error, crit,<\/span>\n\t# alert, emerg.<\/span>\n\tLogLevel warn\n\tServerSignature On<\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n
PHP konfigurieren<\/h3>\n\n\n\n
Das php7.3-fpm von sury kommt (wie auch die \u00e4lteren Debian Pakete) schon ganz brauchbar vorkonfiguriert, so m\u00fcssen wir eigentlich nur einen PHP-Pool definieren und ihm den bereits im VHost verwendeten Namen geben. Eine gut kommentierte Vorlage findet sich bereits in www.conf. Auch wenn wir diese l\u00f6schen werden, k\u00f6nnen wir sie als Kopiervorlage verwenden. Aufgrund der L\u00e4nge zeige ich die angepasste \/etc\/php\/7.3\/fpm\/pool.d\/www.theinterwebz.de.conf<\/code> ohne Kommentarzeilen. <\/p> \n\n\n
root@debian:\/etc\/php\/7.3<\/span>\/fpm\/pool.d# cp www.conf www.theinterwebz.conf<\/span>\nroot@debian:\/etc\/php\/7.3<\/span>\/fpm\/pool.d# rm www.conf<\/span>\nroot@debian:\/etc\/php\/7.3<\/span>\/fpm\/pool.d# service php7.3-fpm restart<\/span><\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n
grep -Ev '^#|^;' \/etc\/php\/7.3\/fpm\/pool.d\/www.theinterwebz.de.conf<\/code> <\/p> \n\n\n
[theinterwebz]\nuser = web1\ngroup = web1\nlisten = \/var<\/span>\/run\/php\/php7.3<\/span>-fpm-theinterwebz.sock\nlisten.owner = www-data\nlisten.group = www-data\npm = dynamic\npm.max_children = 20<\/span>\npm.start_servers = 2<\/span>\npm.min_spare_servers = 1<\/span>\npm.max_spare_servers = 3<\/span>\nchdir = \/\nphp_admin_value[error_log] = \/var<\/span>\/log\/fpm-php.theinterwebz.log\nphp_admin_flag[log_errors] = on\nphp_admin_value[memory_limit] = 128<\/span>M\nphp_admin_value[post_max_size] = 200<\/span>M\nphp_admin_value[upload_max_filesize] = 200<\/span>M<\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n
Let’s Encrypt einrichten<\/h3>\n\n\n\n
Zuerst muss die Grundkonfiguration erstellt werden. Dies geht am Einfachsten mit acmetool quickstart --expert<\/code>. Es \u00f6ffnet sich ein ncurses-dialog, der nacheinander ein paar Angaben abfragt: <\/p> \n\n\n\n