Matomo Warnung

tab-kh · Post by **tab-kh** » Sat 30. Dec 2023, 16:20

Ich bin derzeit dabei, Matomo auf einem netcup VPS zu installieren. Leider bekommeich bei der Überprüfung des Systems eine Warnung, von der ich nicht weiss, wie ich sie am besten beseitigen soll. Also ob das irgendwie über das Panel möglich ist oder ob ich den vHost selbst direkt anpassen muss.

Es geht um folgende Warnmeldung:

Code: Select all

#### PHP SAPI:
 ⚠ Warning: fpm-fcgi
 PHP FPM ignoriert die .htaccess-Regeln für .php-Dateien. Um sicherzustellen, dass auf sensible Dateien nicht direkt zugegriffen werden kann, wird empfohlen, bestimmte Verzeichnisse von der Bearbeitung durch "PHP FPM" auszuschließen, indem Sie die Zeile 

ProxyPass /config ! 

in den mod_proxy_fcgi.c-Abschnitt in Ihrer Apache Virtual Host Config direkt über der ProxyPassMatch Zeile einfügen.

Ja, ich weiss, ich kann über das Panel dem vHost Direktiven hinzufügen, aber klappt das dann auch mit dem Einfügen "direkt über der ProxyPassMatch Zeile"? Oder wie müsste ich das dann ggf einfügen, damit auch das passt?

Müsste man dann wohl auch für HTTP und HTTPS einfügen? ("Sichere Verbindung erzwingen" ist für die Subdomain aktiviert, aber kein HSTS)

Post by **Jolinar** » Sat 30. Dec 2023, 16:46

tab-kh wrote: ↑Sat 30. Dec 2023, 16:20 Ja, ich weiss, ich kann über das Panel dem vHost Direktiven hinzufügen, aber klappt das dann auch mit dem Einfügen "direkt über der ProxyPassMatch Zeile"? Oder wie müsste ich das dann ggf einfügen, damit auch das passt?

Die Direktiven, welche du im Panel zusätzlich angeben kannst, werden am Ende der vhost Config eingefügt, in der Art:

Code: Select all

...

# Include custom HTTPS directives
  Include /etc/apache2/keyhelp/custom_vhosts/<User><Sub_Domain>_https.conf

</VirtualHost>

Für die richtige Reihenfolge der Direktiven bist du natürlich verantwortlich...

tab-kh · Post by **tab-kh** » Sat 30. Dec 2023, 17:19

Dann muss ich mich jetzt doch durch die ganzen conf-Dateien wühlen, ich denke nicht, dass ich in den Custom HTTPS Direktiven irgendwas zum Thema mod_proxy_fcgi.c finden werde. Oder muss ich da schlicht den ganzen Abschnitt reinschreiben, falls er nicht an anderer Stelle bereits existiert?

24unix · Post by **24unix** » Sat 30. Dec 2023, 17:33

Das ist nur eine Warnung.

Lies sie durch, überlege, ob das ein Problem sein konnte und ignoriere es.

Ich habe Matomo ohne irgendwelche Custom Configurations laufen.

tab-kh · Post by **tab-kh** » Sat 30. Dec 2023, 17:56

tab-kh wrote: ↑Sat 30. Dec 2023, 17:19 Dann muss ich mich jetzt doch durch die ganzen conf-Dateien wühlen, ich denke nicht, dass ich in den Custom HTTPS Direktiven irgendwas zum Thema mod_proxy_fcgi.c finden werde. Oder muss ich da schlicht den ganzen Abschnitt reinschreiben, falls er nicht an anderer Stelle bereits existiert?

Edit: Ok, ich lege es einfach auf den Stapel der neuen Baustellen für das nächste Jahr. Hat zum Glück keine Eile, dachte nur "5 Minuten Installation" klingt gut, das probiere ich mal eben. Steht ja auch nichts von 5 Minuten Konfiguration dabei.

tab-kh · Post by **tab-kh** » Sat 30. Dec 2023, 18:02

24unix wrote: ↑Sat 30. Dec 2023, 17:33 Das ist nur eine Warnung.

Lies sie durch, überlege, ob das ein Problem sein konnte und ignoriere es.

Ich habe Matomo ohne irgendwelche Custom Configurations laufen.

Ja, durchlaufen tut es ja. Und wenn jemand meint, PHP-Dateien in meinem config-Ordner lesen oder ausführen zu müssen, dann wünsche ich ihm viel Spass dabei. Auf dem Server läuft eh nichts anderes als Keyhelp und die Matomo-Installation, bisher ohne jegliche Daten. Aber bis ich überhaupt dazu komme, das Matomo zu benutzen, habe ich die Domain jetzt einfach vorsichtshalber mal auf ein Verzeichnis mit der Default-Website verwiesen. Da darf sie jetzt ein paar Wochen schlummern.

Edit: Um zu wissen ob das eon Problem sein könnte müsste ich natürlich erst mal rausfinden, was Matomo eventuell im Lauf der Zeit noch so alles dort unterbringen will. Warum schaffen die das nicht, die zu schützenden Dateien einfach im Verzeichnis oberhalb der document root unterzubringen? Andere machen es ja auch so.

24unix · Post by **24unix** » Sat 30. Dec 2023, 18:07

tab-kh wrote: ↑Sat 30. Dec 2023, 18:02 PHP-Dateien in meinem config-Ordner lesen oder ausführen zu müssen,

Dann wäre KH broken. Auch wenn /configs eigentlich nichts im DocumentRoot zu suchen haben.

tab-kh · Post by **tab-kh** » Sat 30. Dec 2023, 22:14

24unix wrote: ↑Sat 30. Dec 2023, 18:07
tab-kh wrote: ↑Sat 30. Dec 2023, 18:02 PHP-Dateien in meinem config-Ordner lesen oder ausführen zu müssen,
Dann wäre KH broken. Auch wenn /configs eigentlich nichts im DocumentRoot zu suchen haben.

Immerhin ist die Gefahr nicht gleich Null, es kann durch irgendeinen Fehler oder eine Fehlkonfiguration passieren, dass PHP-Dateien als ganz normaler Text ausgegeben werden. Habe ich schon erlebt bei Webhostings. Wenn dann darin z.B. Zugangsdaten stehen ist das schlecht. Wenn die Gefahr nicht real wäre, müsste niemand solche Dateien/Verzeichnisse schützen. Weder mit einer .htaccess noch sonstwie.

Ich muss mich aber jetzt eh erst mal ein wenig einlesen in Matomo. Das Projekt für das es genutzt werden soll ist erst in der Planungsphase.

24unix · Post by **24unix** » Sat 30. Dec 2023, 23:36

tab-kh wrote: ↑Sat 30. Dec 2023, 22:14
24unix wrote: ↑Sat 30. Dec 2023, 18:07
tab-kh wrote: ↑Sat 30. Dec 2023, 18:02 PHP-Dateien in meinem config-Ordner lesen oder ausführen zu müssen,
Dann wäre KH broken. Auch wenn /configs eigentlich nichts im DocumentRoot zu suchen haben.
Immerhin ist die Gefahr nicht gleich Null, es kann durch irgendeinen Fehler oder eine Fehlkonfiguration passieren, dass PHP-Dateien als ganz normaler Text ausgegeben werden.

Kenne ich

Wird bei KH aber nicht passieren.

tab-kh wrote: ↑Sat 30. Dec 2023, 22:14
Habe ich schon erlebt bei Webhostings. Wenn dann darin z.B. Zugangsdaten stehen ist das schlecht. Wenn die Gefahr nicht real wäre, müsste niemand solche Dateien/Verzeichnisse schützen. Weder mit einer .htaccess noch sonstwie.

Ich muss mich aber jetzt eh erst mal ein wenig einlesen in Matomo. Das Projekt für das es genutzt werden soll ist erst in der Planungsphase.

Auf jeden Fall cool, dass ihr Matomo statt Google Analytics nutzt.
Die sollen sich um ihre Suche kümmern, ansonsten das Internet in Ruhe lassen.

tab-kh · Post by **tab-kh** » Tue 2. Jan 2024, 10:25

So, das Problem ist zur Zufriedenheit von Matomo gelöst.
Es gibt einen Issue bei Matomo dazu von vor 2-3 Jahren (2021).
https://github.com/matomo-org/matomo/issues/18132

Ich habe jetzt bei mir folgendes als zusätzliche Apache-Anweisung bei der Domain eingetragen, sicherheitshalber für http und https:

Code: Select all

<IfModule mod_proxy_fcgi.c>
    ProxyPass /config !
    ProxyPassMatch "^/(..php(/.)?)$" "unix:/run/php/php8.2-fpm.sock|fcgi://localhost/home/users/matomo/www/matomo"
</IfModule>

Der Pfad zum Matomo-Verzeichnis und die PHP-Version müssen natürlich entsprechend angepasst werden.

Es waren noch ein paar Kleinigkeiten zu verbessern, das Setting max_allowed_packet für Datenbankserver und -client von 16MB auf mindestens 64MB zu erhöhen, force_ssl=1 in der Matomo config und für die Domain auch in Keyhelp einzustellen, dass auf https weitergeleitet wird.
Damit ist der Systemcheck von Matomo dann glücklich.

Matomo Warnung

Matomo Warnung

Re: Matomo Warnung

Re: Matomo Warnung

Re: Matomo Warnung

Re: Matomo Warnung

Re: Matomo Warnung

Re: Matomo Warnung

Re: Matomo Warnung

Re: Matomo Warnung

Re: Matomo Warnung