Reverse Proxy auf dem Raspberry Pi mit Nginx

HTTP Basic Authentication

Der Zugriff auf den Reverse Proxy soll nur nach einer erfolgreichen Authentifizierung mit Benutzername und Passwort möglich sein. Dazu unterstützt Nginx über das Modul ngx_http_auth_basic_module das Verfahren HTTP Basic Authentication [6] nach RFC 2617 [7].

Dazu richten Sie wie in Listing 5 gezeigt das Paket apache2-utils ein und richten mithilfe des Tools Htpasswd eine Datei mit dem Benutzernamen und dem verschlüsselten Passwort eines entsprechend berechtigten Nutzers ein. Den im Beispiel verwendeten "Hans Mustermann" ersetzen Sie dabei durch Ihren Benutzernamen beziehungsweise Ihre Mailadresse. Statt Htpasswd können Sie auch eine Internetanwendung wie den Htpasswd-Generator [8] einsetzen, um den benötigten Eintrag zu generieren und dann damit die Datei /usr/local/nginx/conf/.htpasswd manuell anzulegen.

Listing 5

 

$ sudo apt-get -y install apache2-utils
$ sudo htpasswd -c /usr/local/nginx/conf/.htpasswd mail@hans-mustermann.de

Als administrativer Benutzer fügen Sie der Konfigurationsdatei aus Listing 4 – Sie finden sie unter /usr/local/nginx/conf/nginx.conf – noch die in Listing 6 gezeigten beiden Anweisungen unter dem Kontext http hinzu. Dabei aktiviert auth_basic den Passwortschutz und definiert den sogenannten Realm (hier NGINX), eine Beschreibung des geschützten Bereichs. Die Anweisung auth_basic_user_file spezifiziert den Speicherort der Datei .htpasswd. Eine Pfadangabe kann hier entfallen, da die Datei direkt im Standardpfad /usr/local/nginx/conf/ liegt.

Listing 6

 

# nginx-02.conf
[...]
http {
  # HTTP Basic Authentication
  auth_basic "NGINX";
  auth_basic_user_file .htpasswd;
  [...]
}

Die geänderte Konfiguration lesen Sie zu guter Letzt mittels sudo nginx -s reload oder sudo service nginx reload neu ein. Anschließend gelingt ein HTTP-Zugriff auf den Webserver via Internetbrowser nur noch unter Angabe von Benutzername und Passwort (Abbildung 2).

Abbildung 2: Der Zugriff auf den per HTTP Basic Authentication geschützten Webserver gelingt nur unter Angabe von Benutzername und Passwort.

SSL

Das Nginx-Modul ngx_http_ssl_module erlaubt, die Datenübertragung via SSL zu verschlüsseln. Dazu können Sie entweder ein offizielles SSL-Zertifikat verwenden, das von einer entsprechenden Zertifizierungsstelle (Certificate Authority, CA) ausgestellt wurde, oder ein selbst signiertes Zertifikat einsetzen. Zertifikate einer offiziellen CA akzeptieren alle gängigen Webbrowser als vertrauenswürdig. Für selbst signierte Zertifikate dagegen kann der Browser nicht prüfen, ob er dem Aussteller vertrauen darf, und beschwert sich darüber mit entsprechenden Warnungen. Für die Güte der Verschlüsselung spielt das allerdings keine Rolle.

Listing 7 zeigt, wie Sie ein passendes SSL-Zertifikat (es gilt hier ein Jahr) sowie einen zugehörigen privaten Schlüssel generieren. Während des Vorgangs müssen Sie einige Abfragen beantworten. Nach dem Erzeugen tragen Sie Zertifikat und Schlüssel im http-Kontext der Nginx-Konfiguration ein und stellen dabei den zuvor definierten HTTP-Server (Port 80) auf HTTPS (Port 443) mit SSL-Verschlüsselung um (Listing 8)

Listing 7

 

$ sudo mkdir /usr/local/nginx/conf/ssl
$ sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -out /usr/local/nginx/conf/ssl/server.crt -keyout /usr/local/nginx/conf/ssl/server.key

Listing 8

 

# nginx-03.conf
[...]
http {
  # HTTP Basic Authentication
  [...]
  # SSL
  ssl_certificate ssl/server.crt;
  ssl_certificate_key ssl/server.key;
  server {
    listen 443 ssl default_server;
    location / {
      root html;
      index index.html index.htm;
    }
  }
}

Um die Verschlüsselung zu aktivieren, müssen Sie die geänderte Konfigurationsdatei neu einlesen. Ein anschließender Zugriff per Webbrowser führt nun zu einer Sicherheitswarnung (Abbildung 3), die Sie quittieren müssen. Um den Zugriff über HTTP zu unterbinden und grundsätzlich die Verwendung von HTTPS zu erzwingen, definieren Sie in der Nginx-Konfiguration einen HTTP-Server an Port 80, der Anfragen mit dem HTTP-Statuscode 301 (Moved Permanently) an den jeweiligen HTTPS-Server umleitet (Listing 9). Dessen Funktion prüfen Sie im Zweifelsfall wieder mithilfe von Curl (Listing 10).

Abbildung 3: Auf ein selbst ausgestelltes Zertifikat reagieren Webbrowser, wie hier Microsofts Internet Explorer, leicht allergisch.

Listing 9

 

# nginx-04.conf
[...]
http {
  [...]
  server {
    listen 80 default_server;
    return 301 https://$host;
  }
  [...]
}

Listing 10

 

$ curl -I http://raspi
HTTP/1.1 301 Moved Permanently
[...]
Location: https://raspi

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Raspberry Pi Geek kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Aktuelle Ausgabe

02/2018
Digital Signage

Diese Ausgabe als PDF kaufen

Preis € 7,99
(inkl. 19% MwSt.)

Stellenmarkt

Neuigkeiten

  • Neues auf der Heft-DVD

    Nur mit dem optimalen System und der richtigen Software nutzen Sie das volle Potenzial des Raspberry Pi. Mit der Heft-DVD erhalten Sie nicht nur die neusten Distributionen für den RasPi und Co., sondern gleichzeitig auch die passenden Programme zu den Artikeln.

  • Ferngebootet

    Das Booten über das Netzwerk beherrscht auch der RasPi 3 – und bietet damit sehr viel mehr Flexibilität, als Sie mit SD-Cards erzielen können.

  • Bleibende Werte

    Ein EEPROM dient dazu, Daten auch nach Abschalten der Energiezufuhr zu speichern, etwa als Kanalspeicher in Autoradios. Wir zeigen, wie Sie einen solchen Speicher beschreiben und wieder auslesen.

  • Auf Wolke 1

    Mit einem schnellen Netzwerkanschluss und einer SATA-Schnittstelle dient sich der Odroid HC1 als NAS-Alternative an – allerdings nicht für jedermann.

  • Wohnungsfunker

    Der kompakte Router GL.iNet dockt problemlos am Raspberry Pi an und erweitert diesen um einen Access Point samt Server-Funktion.

  • Satter Sound

    Mit zwei ICs am I2S-Bus und ein paar zusätzlichen Bauteilen erweitern Sie den Raspberry Pi um eine Soundkarte, die keine Kontaktmöglichkeit mit gängigem HiFi-Equipment scheut – von Klinke und RCA bis IEC60958, Koax-S/PDIF oder optischem TOSLINK.

  • Wer klopfet an?

    Wechselsprechanlagen mit Bild- und Tonübertragung gibt es zwar von der Stange, allerdings zu gesalzenen Preisen. Günstiger und obendrein flexibler ist ein Eigenbau mit Pi Zero und RasPi 3.

  • Wiedergeburt

    Mit dem Keyrah-Tastaturadapter und einem Raspberry Pi machen Sie aus einem defekten C64 eine optimale Emulator-Station, bei der Sie die originale Tastatur und die Joystick-Ports nutzen.

  • Kleine Nachtmusik

    Waveform8 beseitigt einige Ecken und Kanten des Vorgängers Tracktion – und macht die DAW endgültig fit für den Einsatz auf dem Raspberry Pi.

  • Recycling

    Mit einer Dockingstation lassen sich ausgemusterte IDE/SATA-Festplatten im 2,5- und 3,5-Zoll-Format am Raspberry Pi betreiben. Mit dem Samba-Server gliedern Sie den Mini-Rechner dann als Datenspeicher in Ihr lokales Netzwerk ein.