От A до Z установки поля Linux для безопасного локального хостинга

Проблема с Вашей конфигурацией SSL состоит в том, что Вы не имеете на самом деле , включил SSL, Вам будут нужны директивы Apache для этого:

SSLEngine on
SSLCertificateFile /path/to/cert.pem
SSLCertificateKeyFile /path/to/key.pem

Без этого Вы получите те рекордные слишком длинные ошибки, это - потому что вместо заголовков SSL Ваш браузер ожидал, это получает вместо этого просто незашифрованную веб-страницу в большом блоке.

У этого руководства есть много ответов об использовании SSL с Apache, говорит Вам, как создать самоподписанный сертификат, как получить надлежащий сертификат от распознанного центра сертификации (CA) и как создать Ваш собственный, недоверяемый CA для создания полного сертификата. http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html

Что касается виртуальных хостов и SSL, каждому хосту будет нужен его собственный IP-адрес, или более грязное решение состоит в том, чтобы разместить их на различных портах, чем стандарт :443 из-за природы сертификатов SSL, основанный на имени виртуальный хостинг не ладит с SSL; который является, почему Вам нужен другой метод для дифференциации; отличающиеся ПОРТЫ/ДЮЙМ/С.

Установка SSH довольно легка, это должно работать на Вашем сервере, уже. Вы захотите сделать много вещей заблокировать его вниз.

PermitRootLogin no
AllowGroups admins
PubkeyAuthentication yes
PermitEmptyPasswords no
PasswordAuthentication no

Это может быть добавлено к Вашему /etc/ssh/sshd_config, чтобы ограничить удаленный корневой доступ и удалить аутентификацию по паролю, вместо этого с помощью общедоступных/частных пар ключей для входа в систему.

Для создания пары ключей SSH можно использовать puttygen в Windows; http://putty.very.rulez.org/download.html или можно создать пару ключей в среде Linux как так: ssh-keygen -b 2048 -t RSA -f my_keypair. Это создаст my_keypair файл и my_keypair.pub файл (только названный по имени этого примера, я мог бы предложить назвать для Вашего имени пользователя или кончить -f и позволить ему генерировать ~/.ssh/id_rsa).

Надежно передача my_keypair к Вашей рабочей станции, для будущего доступа SSH, это - закрытый ключ, Вы не должны совместно использовать его ни с кем. Затем на сервере создайте $HOME/.ssh, если он уже не существует, mkdir ~/.ssh, затем копирует открытый ключ (my_keypair.pub) в [1 114], если Вы уже имеете authorized_keys в [1 116], потому что Вы сделали это для других вещей, можно сделать cat my_keypair.pub >> authorized_keys для добавления открытого ключа, или cp my_keypair.pub authorized_keys, если он не существует.

Теперь работает chmod 700 ~/.ssh и chmod 644 ~/.ssh/my_keypair.pub ~/.ssh/authorized_keys для установки полномочий. Можно сохранить копию my_keypair в [1 122] для использования при соединении с другими хостами, но необходимо сделать chmod 600 ~/.ssh/my_keypair, чтобы удостовериться, что никто больше не может получить доступ к нему.

Вы захотите добавить счет обычного пользователя на себя и добавить себя к группе кроме [1 124], как [1 125] в моем примере.

Вы, вероятно, также захотите добавить своего пользователя или группу к [1 126] для включения sudo использование, если Вы уже не будете иметь. Это выполняется с командой visudo, которая является единственным способом, которым необходимо отредактировать этот файл. visudo ошибка выполнений и синтаксис, начинающий работу Вашу конфигурацию перед выписыванием его, предотвращая потерю [1 130] использование.

username ALL=(ALL) ALL

добавленный к [1 131] позволит username работать sudo yum install blah и предложит Вам Ваш собственный пароль. Это удобно в конечном счете, у Вас есть другие администраторы или временные администраторы, Вы не должны совместно использовать пароль root.

MySQL от исходного пакета поддерживает SSL. Для проверки сборки MySQL работайте

mysqladmin variables | grep ssl

, необходимо найти что-то как have_ssl yes. Настройте опции ssl-ca, ssl-key и ssl-cert.

, Создают учетные записи пользователей с требованиями SSL:

create user@host identified by 'password'
grant privilegelist on database.tables to user@host require ssl