Sicherer Webserver out of the box mit Caddy

Grundlegendes Setup

Zum Funktionstest legen Sie im aktuellen Verzeichnis der Einfachheit halber eine index.html an, die lediglich aus dem HTML-Header sowie dem Body mit der Überschrift "Hallo Welt" besteht. Danach starten Sie Caddy aus demselben Verzeichnis. Zum Aufruf der Seite im Webbrowser verwenden Sie entweder die IP-Adresse des Hosts oder localhost beziehungsweise 127.0.0.1 und ergänzen die Angabe um die Portnummer 2015, auf der Caddy ohne weitere Einstellungen auf HTTP-Anfragen lauscht (Abbildung 2).

Abbildung 2: Die Webseite zum Funktionstest sowie der Aufruf im Webbrowser.

Um den Webserver abzusichern und ihn als Systemdienst einzurichten, legen Sie zunächst einen eigenen Benutzer für Caddy an, dem Sie über den Schalter -rmd das Heimatverzeichnis /opt/caddy/ zuordnen (Listing 2, erste Zeile). Darin befinden sich später auch die Konfigurationsdateien und die realen Inhalte der Webseite.

Listing 2

 

# useradd -rmd /opt/caddy caddy
# mkdir /opt/caddy/{store,logs,web}
# chown -R caddy: /opt/caddy

Hier legen Sie die drei Unterverzeichnisse store, logs und web an (Listing 2, zweite Zeile). Ersteres enthält unter anderem die SSL-Zertifikate, das zweite die Logfiles des Webservers und das dritte die tatsächliche Webseite. Damit Caddy auch darauf zugreifen darf, übereignen Sie die drei Verzeichnisse dem zuvor angelegten Benutzer caddy (Listing 2, letzte Zeile).

Anschließend kopieren Sie die zuvor angelegte Datei index.html nach /opt/caddy/web/. Caddy benötigt nun noch etwas Hilfe in Form einer Konfigurationsdatei, um die Inhalte zu finden. Den Namen der Konfigurationsdatei wählen Sie frei – im Rahmen dieses Artikels heißt sie /opt/caddy/caddy.config. Darin tragen Sie den Inhalt aus Listing 3 ein; es enthält die Konfiguration für eine einzige Website auf dem lokalen Rechner.

Listing 3

 

http:// {
  root /opt/caddy/web/default
  log /opt/caddy/logs/default.log
  gzip
}

Zeile 1 kennzeichnet die Bereitstellung via HTTP über Port 80, Zeile 2 das Wurzelverzeichnis der Website und Zeile 3 die zugehörigen Logfiles. Zeile 4 bindet das Modul Gzip ein, das dafür sorgt, dass Caddy HTML- und Textdateien komprimiert ausliefert. Bei der Leistungsfähigkeit heutiger Systeme verursacht das Komprimieren nur eine minimale Verzögerung, was die damit gesparte Übertragungszeit mehr als ausgleicht.

Möchten Sie mehrere Webdienste auf dem System bereitstellen, legen Sie für jeden davon einen eigenen Block an. In Listing 4 beschreibt der dritte davon einen Webserver, der seine Daten über Port 8080 ausliefert. Dazu genügt die Angabe :8080 hinter dem Domainnamen.

Listing 4

 

http:// {
  root /opt/caddy/web/default
  log /opt/caddy/logs/default.log
  gzip
}
http://out-of-space.example.net {
  root /opt/caddy/web/out-of-space
  log /opt/caddy/logs/out-of-space.log
  gzip
}
http://on-the-road.example.net:8080 {
  root /opt/caddy/web/on-the-road
  log /opt/caddy/logs/on-the-road.log
  gzip
}

Nun gilt es, Caddy als regulären Dienst einzurichten. Dazu legen Sie bei Systemen mit Systemd, zu denen auch Raspbian zählt, einen separaten Eintrag in der Datei /etc/systemd/system/caddy.service an (Listing 5). Im Abschnitt Unit benennen Sie den Dienst und vergeben eine Beschreibung. Der Service-Teil definiert den Benutzer und die Gruppe, die Umgebungsvariablen, die Startparameter, den Umgang bei Neustart des Prozesses sowie die Begrenzungen für die Anzahl der geöffneten Dateien und parallelen Prozesse. Der Abschnitt Install schließlich legt fest, für welches Target beziehungsweise Runlevel der Dienst dann verfügbar ist.

Listing 5

 

[Unit]
Description=Caddy HTTP/2 web server
[Service]
User=caddy
Group=caddy
Environment=CADDYPATH=/opt/caddy/store
ExecStart=/usr/local/bin/caddy -agree=true -log=/opt/caddy/logs/caddy.log -conf=/opt/caddy/caddy.config -root=/dev/null
ExecReload=/bin/kill -USR1 $MAINPID
LimitNOFILE=1048576
LimitNPROC=64
[Install]
WantedBy=multi-user.target

Über die beiden ersten Kommandos aus Listing 6 starten Sie den zuvor eingerichteten Dienst und prüfen, ob er richtig läuft (Abbildung 3). Danach surfen Sie die Webseite an und prüfen deren Erreichbarkeit. Diesmal lauscht Caddy nicht mehr auf Port 2015, sondern wie für HTTP üblich auf Port 80.

Listing 6

 

# systemctl enable caddy.service
# systemctl status caddy.service
# systemctl restart caddy.service
Abbildung 3: Die Statusanzeige von Systemd verrät, dass Caddy wie gewünscht seinen Dienst verrichtet.

Ändern Sie zu einem späteren Zeitpunkt die Konfiguration, müssen Sie den Dienst wie in der letzten Zeile von Listing 6 gezeigt neu starten, damit er die Änderungen übernimmt. Die grundlegende Einrichtung ist damit abgeschlossen.

Umschalten auf HTTPS

Wie erwähnt glänzt Caddy mit der Integration von Let's Encrypt zum Etablieren gesicherter HTTPS-Verbindungen. Dazu müssen Sie über eine Domain verfügen. Im zweiten Block aus Listing 4 schreiben Sie in der ersten Zeile http zu https um. Die Zeile 5 kommt noch zum Block hinzu (Listing 7). Über die darin angegebene E-Mail-Adresse informiert Let's Encrypt Sie über Änderungen im Zertifikat für HTTPS, insbesondere bevor es abläuft und erneuert werden muss.

Listing 7

 

https://out-of-space.example.net {
  root /opt/caddy/web/out-of-space
  log /opt/caddy/logs/out-of-space.log
  gzip
  tls admin@out-of-space.example.net
}

Eine explizite Angabe für HTTP benötigen Sie nicht. Sämtliche Anfragen für dieses Protokoll biegt Caddy automatisch nach HTTPS auf den Port 443 um. Starten Sie nun Caddy neu, verbindet er sich automatisch mit Let's Encrypt und richtet das passende Zertifikat ein.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Raspberry Pi Geek kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Aktuelle Ausgabe

08/2019
Smarte Hacks

Diese Ausgabe als PDF kaufen

Preis € 9,99
(inkl. 19% MwSt.)

Stellenmarkt

Neuigkeiten

  • Immer der Reihe nach

    Mit einer einfachen Schaltung testen Sie Bausteine, die über den SPI-Bus miteinander kommunizieren.

  • Einzigartig

    Eine MAC-Adresse ermöglicht die Kommunikation im Netzwerk. Der 24AA02E48 liefert sie für Setups, die aus grundlegenden Komponenten bestehen.

  • Steinkuchen

    Der Raspberry Pi hat viele Fans, doch nicht ohne Grund sehnen sich viele Anwender nach einem RasPi 4. Der Rock Pi 4 übertrumpft den RasPi 3 in Sachen Leistung um Längen und schlägt sich auch in der Praxis gut.

  • Kerngeschäft

    Der Einstieg in die Welt der Mikrocontroller fällt nicht ganz leicht. Mit dem Nucleo F401RE haben Sie jedoch ein Entwicklerboard samt abgestimmter Entwicklungsumgebung an der Hand.

  • Himbeer-Geräte

    Mit Maus und Tastatur im weiß-roten Raspberry-Look macht die Raspberry Pi Foundation das eigene Angebot an Peripheriegeräten für den Mini-Rechner komplett.

  • Unter Kontrolle

    PiCockpit ist eine speziell auf den RasPi zugeschnittene Online-Monitoring-Lösung. Wir werfen einen ersten Blick auf den brandneuen und in Ausbau befindlichen kostenlosen Dienst.

  • Ins rechte Licht gesetzt

    Selbst ohne eigenen Garten holen Sie sich Pflanzen mithilfe von LEDs in jeden Raum und sehen ihnen mit dem RasPi beim Wachsen zu.

  • Helligkeit nach Maß

    Wer bei wechselnden Lichtverhältnissen nicht ständig die Beleuchtung manuell nachregeln möchte, der spannt dafür einen PiXtend ein.

  • Geschrumpft

    Kleine Bildschirme gibt es zwar viele, aber der Support von Raspbian ist überraschend schlecht. Mit ein paar Tricks erzielen Sie trotzdem ein optimales Ergebnis.

  • Brüllwürfel

    Kompakt-Stereoanlagen mit CD-Spieler und Kassettendeck sind inzwischen oft ein Fall für den Recyclinghof – oder für die digitale Wiederbelebung mit einem RasPi und etwas Geschick.