»Wenn das Aug' nicht sehen will,
so helfen weder Licht noch Brill'.«
– Sprichwort
19 LAMP & Co.
In diesem Kapitel wollen wir uns mit einer Modeerscheinung auseinandersetzen. Die ganze Welt spricht von LAMP – Linux mit Apache, MySQL und PHP [Manchmal wird das »P« aus LAMP auch als Abkürzung für Perl oder Python interpretiert.]. Mit dieser Open-Source-Kombination kann man einen voll funktionsfähigen Webserver aufsetzen. Die Webseiten können dabei aufgrund der jeweiligen Skriptsprache – in der Regel PHP – dynamisch gestaltet und mit einem Datenbankzugriff auf das MySQL-Backend ausgestattet werden.
Lizenzfreies Setup
Dieses Konzept ist nun in aller Munde, weil bei einem solchen Einsatz ein völlig lizenzkostenfreies System entsteht. Gleichzeitig hat man mit Apache, PHP und MySQL auf Marktführer beziehungsweise Quasistandards gesetzt. In diesem Kapitel zeigen wir Ihnen, wie Sie einen solchen LAMP-Werbserver aufsetzen und im Prinzip mit ihm arbeiten.
Die Installation
Die Grundlage für ein solches Setup ist ein frisches, pures Linux-System ohne allzu viel Schnickschnack. Wie Sie verschiedene Linux-Distributionen installieren, erfahren Sie in Kapitel 2. Vermeiden sollten Sie dabei vor allem die grafische Oberfläche X11 sowie andere Netzwerkdienste wie SMTP- oder POP3-Server.
Bei Serversystemen sollte man sich nämlich auf das Wesentliche beschränken. Wenn man einen SMTP-Dienst auf einem Webserver nur laufen lässt, weil dieser zufällig bei jeder Installation der Lieblingsdistribution mit auf die Platte geschaufelt wird, so tut man höchstens einem Angreifer einen Gefallen – denn alle anderen brauchen den Dienst nicht, nur er hat eine weitere Angriffsmöglichkeit.
19.1 Apache 

Nicht nur beim Basteln der eigenen Homepage kann ein Webserver hilfreich sein. In Zeiten von immer billiger werdenden Flatrates und virtuellen Servern (V-Servern) wird auch ein eigener Internetserver immer verbreiteter. Ein HTTP-Dienst gehört bei einem solchen Setup eigentlich auch immer dazu.
Als Software empfehlen wir dabei das »A« aus LAMP: den Apache – den im Internet am weitesten verbreiteten Webserver. Aufgrund dieser Verbreitung ist es ziemlich wahrscheinlich, dass Ihre Distribution bereits ein Apache-Paket enthält.
Etwas zur Geschichte
Der Grund für den Erfolg von Apache liegt sicherlich in seiner Geschichte. Unter der Bezeichnung »NCSA httpd« wurde er als einer der ersten Webserver vom National Center for Supercomputing Applications an der University of Illinois entwickelt.
A patchy Server
Irgendwann wurde der Support für das Produkt allerdings eingestellt, und die Administratoren der zahlreichen NCSA-Installationen, die es bis dahin gab, waren auf sich allein gestellt. Schon bald kursierten viele Patches und Erweiterungen. Diese Bestrebungen wurden später im Apache-Projekt koordiniert, dessen Name sich aus dieser Geschichte erklärt: A PAtCHy sErver.
Viele Jahre lang wurde der Apache-Server in der Version 1.3.x eingesetzt, die auch wir noch in der ersten Auflage dieses Buches besprachen. Auf Neuinstallationen wird allerdings praktisch kaum mehr auf Version 1.3.x zurückgegriffen, weshalb wir uns im Folgenden auf die Apache-Version 2.x konzentrieren werden.
Die Datei »apache2.conf«
Konfiguration
Im Folgenden wollen wir den Apache konfigurieren. [Die Installation haben Sie bestimmt schon ganz selbstständig über das Paketverwaltungstool Ihrer Distribution erledigt – vielleicht haben Sie sich sogar die Quellen von apache.org gezogen und selbst übersetzt. :-)] Dazu editieren wir die apache2.conf, die sich meistens in /etc/apache2 bzw. /etc/httpd befindet. Die Datei ist relativ groß – kein Wunder bei einer so wichtigen und umfangreichen Software. Falls die Datei bei Ihnen recht klein ist, dann wird es wahrscheinlich mehrere Include-Anweisungen geben, die andere Konfigurationsdateien in diese Datei einbinden (etwa die ports.conf zur Konfiguration der Ports, auf denen der Apache Verbindungen entgegennimmt). Eine Übersicht über die Include-Anweisungen Ihrer apache2.conf-Datei liefert Ihnen ein grep-Aufruf:
$ grep Include /etc/apache2/apache2.conf # Include module configuration: Include /etc/apache2/mods-enabled/*.load Include /etc/apache2/mods-enabled/*.conf # Include all the user configurations: Include /etc/apache2/httpd.conf # Include ports listing Include /etc/apache2/ports.conf # Include of directories ignores editors' and # dpkg's backup files, # Include generic snippets of statements Include /etc/apache2/conf.d/ # Include the virtual host configurations: Include /etc/apache2/sites-enabled/
Listing 19.1 Welche Include-Befehle enthält die apache2.conf-Datei?
Wie Sie sehen, existieren für den Apache eine ganze Reihe an Include-Anweisungen, die teilweise sogar ganze Unterverzeichnisse wie mods-enabled einbinden. Aber keine Sorge: Hauptsächlich werden wir in diesem Buch Konfigurationsparameter aus den Dateien apache2.conf, httpd.conf und ports.conf besprechen, schließlich handelt es sich hierbei nur um eine Einführung. In welcher Datei sich ein Konfigurationsparameter befindet, erfahren Sie jeweils durch grep -R [Parameter-Name] /etc/apache2. Um beispielsweise herauszufinden, in welcher Konfigurationsdatei der Parameter PidFile versteckt ist, ist folgendes Kommando nötig:
$ grep -R PidFile /etc/apache2/ /etc/apache2/apache2.conf:# PidFile: The file in which the server should record its process /etc/apache2/apache2.conf:PidFile ${APACHE_PID_FILE}
Listing 19.2 Herausfinden, in welcher Datei ein Parameter verwendet wird
Doch lassen Sie uns nun die wichtigsten Konfigurationsparameter des Apache-2.x beschreiben.
# Standalone-Server auf Port 80
Listen80
PidFile /var/run/apache2.pid
Listing 19.3 Grundkonfiguration
Listen, PidFile
Unser Apache läuft auf Port 80 (Listen 80). Sie können durch mehrere Listen-Befehle auch erzwingen, dass der Apache-Server parallel auf mehreren unterschiedlichen Ports läuft. Um den Server an eine bestimmte IP-Adresse zu binden (hierbei funktionieren auch IPv6-Adressen), genügt ein Listen-Befehl der Form Listen Adresse:Port, also etwa Listen 192.168.2.99:8080. In die PidFile schreibt der Dienst nach dem Start seine Prozess-ID hinein.
Timeout 300
Listing 19.4 Timeout
Timeout
Mit dem Timeout-Befehl geben Sie die Sekunden an, nach denen eine Verbindung durch ein Netzwerk-Timeout beim Senden oder Empfangen geschlossen wird.
User www-data Group www-data
Listing 19.5 Rechte
Kein root
Mit diesen beiden Anweisungen legen Sie die Rechte fest, unter denen der Prozess laufen soll. Auf keinen Fall sollten hier administrative root-Rechte vergeben werden. Wichtig ist nur, dass der betreffende Benutzer Zugriff auf das DocumentRoot-Verzeichnis mit allen Webseiten hat.
DefaultType text/plain HostnameLookups Off
Listing 19.6 Weitere Konfigurationsparameter
DefaultType
Mit der Option DefaultType geben Sie den im Normalfall zu verwendenden MIME- Typ für Dokumente an, bei denen der Server nicht selbst feststellen kann, um welchen MIME-Typ es sich handelt. Diesen Wert müssen Sie im Normalfall nicht verändern.
HostnameLookups
Für die Option HostnameLookups können Sie entweder den Wert On, Double oder Off vergeben. Wenn Sie diese Option mit On aktivieren, versucht der Apache-Server die IP-Adressen von Clients über einen Nameserver in Hostnamen umzusetzen. In Ihren Logdateien finden Sie dann entsprechend den Hostname eines Clients anstelle seiner IP-Adresse. Sollten Sie nach einem DNS-Reverse-Lookup noch ein Forward-Lookup durchführen wollen, können Sie die Option Double verwenden. Laut Apache-Dokumentation ist die Option standardmäßig auf Off gestellt, um Netzwerktraffic zu sparen und schneller die Anfragen von Clients beantworten zu können.
ErrorLog /var/log/apache2/error.log LogLevel warn CustomLog /var/log/apache2/others.log vhost_combined
Listing 19.7 Logdateien
ErrorLog, LogLevel und CustomLog
Wichtige Konfigurationsparameter sind auch solche, die die Protokollierung (das Logging) betreffen. Dabei ist zu beachten, dass die in der apache2.conf enthaltenen Einstellungen nur für virtuelle Hosts gelten, wenn die Parameter bei deren Konfiguration nicht gesetzt wurden – aber dazu später mehr.
Über die durch ErrorLog angegebene Logdatei werden Fehlermeldungen protokolliert. Der LogLevel kann den Wert debug, info, notice, warn, error, crit, alert oder emerg annehmen. Der Unterschied der einzelnen Werte liegt darin, wie detailliert die Protokollierung erfolgen soll. Während debug Ihnen alles protokolliert (selbst das Öffnen einer Datei!) und Ihnen die Festplatte mit solchen Meldungen praktisch zumüllt, wodurch durchaus wichtige Meldungen untergehen können, gibt Ihnen das andere Extrem emerg nur Notfall-Warnungen aus. Es ist sinnvoll, die Standardeinstellung (warn) beizubehalten. Sollten Sie etwas ausführlichere Informationen benötigen, können Sie auch einmal notice oder (die Vorstufe zu debug) info ausprobieren.
CustomLog legt die eigentliche Logdatei, die Zugriffe enthält, fest. Beachten Sie, dass in dieser Datei HTTP-Requests protokolliert werden; Fehlermeldungen werden in die über ErrorLog angegebene Datei geschrieben.
ServerRoot "/etc/apache2"
Listing 19.8 ServerRoot
In diesem Verzeichnis sucht der Apache weiter nach verschiedenen Konfigurationsdateien. Dieses Verzeichnis kann je nach Distribution auch anders heißen und braucht in der Regel nicht geändert zu werden.
$ ls -l /etc/apache2/mods-enabled/mime.load /etc/apache2/mods-enabled/dir.load lrwxrwxrwx 1 root root 26 Feb 15 2007 /etc/apache2/mods-enabled/dir.load -> ../mods-available/dir.load lrwxrwxrwx 1 root root 27 Feb 15 2007 /etc/apache2/mods-enabled/mime.load -> ../mods-available/mime.load
Listing 19.9 Module aktivieren
Module
Apache kennt zudem Module, die seine Funktionalitäten erweitern (es gibt beispielsweise ein PHP-Modul). Die verfügbaren installierten Module finden sich dabei meist im Unterverzeichnis mods-available/ des ServerRoot-Verzeichnisses. Um ein Modul zu aktivieren, wird ein symbolischer Link im Verzeichnis mods-enabled auf die entsprechende Datei im Verzeichnis mods-available/ erstellt. Eine Übersicht der aktivierten Module erhalten Sie daher ganz einfach über einen Blick in das Verzeichnis:
$ ls mods-enabled/ alias.conf cgi.load php5.conf alias.load dir.conf php5.load auth_basic.load dir.load rewrite.load authn_file.load env.load ruby.load authz_default.load fastcgi.conf setenvif.conf authz_groupfile.load fastcgi.load setenvif.load authz_host.load mime.conf status.conf authz_user.load mime.load status.load autoindex.conf negotiation.conf autoindex.load negotiation.load
Listing 19.10 Aktivierte Apache-Module
In diesem Fall wurden eine ganze Reihe an Modulen geladen, die unterschiedlich wichtig sind. Eines der wichtigsten Module ist das mime-Modul, es bringt unserem Webserver bei, unterschiedliche Datentypen zu verstehen und vor allem dem Browser mitzuteilen. Nur so kann dieser wissen, ob er gerade eine Webseite (also HTML-Code) oder ein JPEG-Bild (also Binärdaten) lädt.
index.html finden
Ein weiteres wichtiges Modul ist das dir-Modul; es lässt den Webserver nach einem »Standarddokument« suchen, wenn in der URL nichts weiter angegeben wurde. So gelangt man beim Aufruf von example.com auf die Seite example.com/index.html – oder, wenn sie im entsprechenden Verzeichnis vorhanden ist, auf die Seite /index.htm.
Virtuelle Hosts und DocumentRoot
DocumentRoot
Im Apache kann für jede Site, die auf dem Server läuft, ein eigenes Verzeichnis für die angebotenen Webdateien festgelegt werden. Die Standardseite (default site) wird über die Datei sites-available/default konfiguriert. In diesem Abschnitt legt man nun fest, dass der Root für Webdokumente das Verzeichnis /var/www ist. Lädt man also die http://www.example.com/index.html, so wird die lokale Datei /var/www/index.html an den Client gesendet.
DocumentRoot /var/www/ <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all # This directive allows us to have apache2's default start page # in /apache2-default/, but still have / go to the right place RedirectMatch ^/$ /apache2-default/ </Directory>
Listing 19.11 Die Datei /etc/apache2/sites-available/default (Ausschnitt)
Virtual Hosts
Im Zusammenhang mit Seiten spricht man auch von virtuellen Hosts (engl. virtual hosts). Läuft Ihr Webserver etwa bisher mit der Seite meine-seite.xyz und soll nun noch eine weitere Seite tolle-seite.abc zur Verfügung stellen, können Sie für die neue Seite einen neuen virtuellen Host anlegen.
Dazu muss zunächst im Verzeichnis sites-available eine Datei für die neue Seite angelegt werden (kopieren Sie dazu einfach die default-Seite): cp default tolle-seite.abc.
In die neue Datei editieren Sie so, dass Sie ihr ein neues Verzeichnis verpassen (über DocumentRoot) und über ServerName die neue Domain konfigurieren, damit Apache weiß, für welche Domain er das neue DocumentRoot verwenden soll. Weitere Alternativ-Domains (etwa mit www-Subdomain) können durch ServerAlias angegeben werden. Insgesamt sieht Ihre neue Datei dann in etwa so aus:
<VirtualHost *> ServerAdmin ich@mein-mail-provider.xyz ServerName tolle-seite.abc ServerAlias www.tolle-seite.abc DocumentRoot /var/www/tolle-seite <Directory /> Options FollowSymLinks AllowOverride None </Directory> ErrorLog /var/log/apache2/meine-tolle-seite.error.log # Possible values include: debug, info, notice, warn, error, # crit, alert, emerg. LogLevel info CustomLog /var/log/apache2/meine-tolle-seite.access.log combined </VirtualHost>
Listing 19.12 Virtual Host mit Apache
Sämtliche Anweisungen, die sich im VirtualHost-Block befinden (der mit </VirtualHost> abgeschlossen wird) beziehen sich dabei auf Ihren neuen virtuellen Host. Wichtig ist hierbei noch, dass über die ErrorLog-Anweisung und die Anweisung CustomLog zwei zusätzliche Logdateien konfiguriert wurden. Unterschiedliche Logdateien für unterschiedliche virtuelle Hosts zu erstellen, können wir Ihnen nur empfehlen, da dadurch die Übersichtlichkeit der Logmeldungen erhalten bleibt.
Um den virtuellen Host zu aktivieren, müssen Sie nun einen symbolischen Link im Verzeichnis sites-enabled erstellen:
# cd /etc/apache2 # ln -s sites-available/meine-tolle-seite \ sites-enabled/100-meine-tolle-seite
Listing 19.13 Den neuen virtuellen Host aktivieren
Anschließend muss der Server neu gestartet werden, was wir im Folgenden beschreiben.
19.1.1 Den Apache verwalten 

Natürlich muss man einen Serverdienst wie den Apache auch zur Laufzeit verwalten können. Im Folgenden wollen wir kurz auf das apache2ctl-Tool und die wichtigsten Logfiles eingehen.
apache2ctl
Mit dem Programm apache2ctl kann man den Apache kontrollieren. Dazu gehört neben den Möglichkeiten des Startens, Neustartens und Stoppens natürlich auch die Option, die Konfigurationsdatei auf Korrektheit hin zu überprüfen. Hier eine Übersicht über die Möglichkeiten des Tools:
# Die Konfiguration testen: # apache2ctl configtest # Den Server starten: # apache2ctl start # Den Server beenden: # apache2ctl stop # Den Server neustarten: # apache2ctl restart # Statusbericht anzeigen # apache2ctl status / fullstatus
Listing 19.14 apache2ctl
Konfigurationsdatei prüfen
Ist die apache2.conf fehlerhaft, so wird bei apache2ctl configtest ein Fehler angegeben. Mit dieser Hilfe kann das Problem dann oft recht einfach und schnell behoben werden. Nach einer eventuellen Änderung an der apache2.conf kann der Apache dann mit der restart-Option neu gestartet werden:
# apachectl restart
/usr/sbin/apachectl restart: httpd restarted
Listing 19.15 Apache neu starten
Ebenfalls interessant ist die Möglichkeit, sich über den Status des Servers informieren zu lassen. Dafür kann man entweder den Parameter status oder – für noch mehr Informationen – den Parameter fullstatus verwenden:
$ apache2ctl fullstatus Apache Server Status for localhost Server Version: Apache/2.2.12 (Ubuntu) mod_fastcgi/2.4.6 PHP/5.2.10-2ubuntu6.4 with Suhosin-Patch mod_ruby/1.2.6 Ruby/1.8.7(2009-06-12) Server Built: Mar 9 2010 22:11:44 _________________________________________ Current Time: Friday, 02-Apr-2010 15:52:48 CEST Restart Time: Friday, 02-Apr-2010 10:43:33 CEST Parent Server Generation: 0 Server uptime: 5 hours 9 minutes 14 seconds 1 requests currently being processed, 4 idle workers W____........................................................... ................................................................ ................................................................ ................................................................ Scoreboard Key: "_" Waiting for Connection, "S" Starting up, "R" Reading Request, "W" Sending Reply, "K" Keepalive (read), "D" DNS Lookup, "C" Closing connection, "L" Logging, "G" Gracefully finishing, "I" Idle cleanup of worker, "." Open slot with no current process
Listing 19.16 apache2ctl zeigt den Status des Apache an
Eine vollständige Liste der von Ihrem apache2ctl-Programm unterstützten Funktionen und Befehle finden Sie in der zugehörigen Manpage.
Module
Diese wenigen Direktiven reichen nun bereits aus, um einen einfachen kleinen Webserver mit Apache zu betreiben. Natürlich gibt es noch viel mehr als die bisher hier vorgestellten Module. Teilweise bringen diese auch ihre eigenen Schlüsselwörter mit, über die entsprechende Funktionalitäten konfiguriert werden können. Solche häufig vorkommenden Module sind unter anderem:
- mod_cgi.so
Mit diesem Modul kann man CGI-Dateien nutzen. Das CGI (Common Gateway Interface) war die erste Möglichkeit für interaktive Webinhalte.
- libphp5.so
Mit diesem Modul kann man mit PHP erstellte Webseiten mit dem Apache darstellen. PHP selbst ist, wie viele andere Erweiterungen, nicht Teil der Standard- Apache-Distribution [Bei diesem umfangreichen Projekt spricht man auch von einer »Distribution«, beachten Sie jedoch den Unterschied zu den Linux-Distributionen.] und muss separat installiert werden. Eine gute Adresse für alles rund um PHP ist dabei www.php.net.
Sicheres Surfen
- mod_ssl.so Mit diesem Modul kann man einen HTTPS-Server aufsetzen und damit über den sogenannten Secure Sockets Layer eine verschlüsselte Verbindung zwischen Client und Server aufbauen.
Je nach Distribution gibt es nun spezielle Pakete, die den Apache mit der ein oder anderen Funktion nachrüsten, sowie Pakete, die einen zum Beispiel bereits für SSL vorkonfigurierten Apache installieren.
Die Logdateien
Standardmäßig schreibt der Apache in zwei unterschiedliche Logdateien. Die Datei access.log wird zur Protokollierung einzelner Zugriffe genutzt; in die error.log werden nur Fehler geschrieben.
Kontrolle
Beide Dateien befinden sich oft in einem Unterverzeichnis unter /var/log/(apache2) beziehungsweise unter /usr/local/(apache2/), falls Sie den Apache von Hand aus den Quellen kompiliert haben.
85.181.56.167 – – [05/Sep/2007:22:35:38 +0200] "GET /favicon.ico HTTP/1.1" 200 1406 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5"
Listing 19.17 Eine Zeile aus der access.log-Datei
Hier sehen Sie eine Zeile aus der access.log. Wie Sie bemerken, schickt Ihr Browser sehr viele Informationen über sich und das entsprechende Betriebssystem mit. Außerdem können Sie noch ablesen, dass die Anfrage für die index.html vom Rechner 172.20.2.1 kam.
[Sun Jul 01 08:52:23 2007] [error] [client 66.249.66.180] File does not exist: /var/www/robots.txt [Sun Jul 01 09:15:00 2007] [error] [client 65.55.208.135] File does not exist: /var/www/robots.txt
Listing 19.18 Ausschnitt aus der Datei error.log
An dieser Stelle können Sie feststellen, wofür die error.log außer für die Fehler-Eintragungen sonst noch genutzt wird: für Servernachrichten. Hier im Beispiel sehen Sie die Nachrichten, die der Apache bei unserem Restart hinterlassen hat.