ComputerBase Menü
Aktuelles

AWS EC2 kann nicht verbinden mit https

D

derocco

Lt. Junior Grade
Registriert
Nov. 2015
Beiträge
349
1624343670540.png


Ports in der Sec group gesetzt.
Kann die Seite mit http erreichen. nicht aber mit https

Woran kann das liegen?
 
  • Du gehst über IPv6 auf die Kiste (nur tcp/80 ist für v4 und v6 erlaubt, tcp/443 nur auf v4...)
  • Der Webserver läuft nur auf :80 aber nicht auf :443
  • Webserver lauscht auf :443 aber macht einen Redirect auf http und :80
 
Weißt du überhaupt was du tust ? Als Amateur einen im Internet verfügbaren Server laufen zu lassen ist so eine Sache...

  • Warum ist der MySQL Port offen ? Wenn du die DB auf dem Server hast, dann kann das Frontend doch per localhost drauf zugreifen oder kommst du von außen auf die DB ? Generell würde ich in AWS auf RDS setzen für die DB.
  • Hast du überhaupt ein Zertifikat auf dem Server ?
 
  • Gefällt mir
Reaktionen: konkretor
sorry ::0 ist auch gemacht aber auf der nächsten Seite.

Mysql port ist offen damit ich mit einem ext client drauf kann.
Es ist nur ein testsystem. Das wird alles noch angepasst.
 
Um mit einem externen Client zuzugreifen nutzt man SSH Tunnel. Da sollte kein MySQL Port nach außen offen sein.

Läuft denn der Webserver überhaupt auf 443 (poste mal den Output von "sudo netstat -plant")?
Ich würde tendenziell empfehlen Https nicht am Webserver selber zu schalten sondern seitens AWS über einen ALB vor dem Webserver.
Dem Webserver am besten gar keine öffentliche IP geben.
 
derocco schrieb:
sorry ::0 ist auch gemacht aber auf der nächsten Seite.

Mysql port ist offen damit ich mit einem ext client drauf kann.
Es ist nur ein testsystem. Das wird alles noch angepasst.
Zum Vergrößern anklicken....
Auch wenn's unbequem ist: Mittelfristig fährst Du besser wenn Du erst alles sperrst und dann gezielt und ausschließlich die Verbindungen zuläßt die Du wirklich brauchst.

Wenn Du aus welchem Grund auch immer im Moment von extern auf den mysql port zugreifen musst dann könntest Du diese Verbindung gezielt für Deine gegenwärtige IP erlauben. Die wird in der Regel zwar nicht statisch sein, aber vermutlich doch so lange Bestand haben dass der Aufwand überschaubar bleibt.

@All: Ja, ist gefrickel. Aber besser als nix und für einen der damit anfängt "machbar".

PS: Mach Dir bewußt, das öffentlich erreichbare IPs ständig gescannt werden. Und sobald sie gefunden wurden werden sie auf offene Ports untersucht. Und sowie die offenen Ports bekannt sind wird versucht darüber einzudringen. AWS ist hier zwar Dein Freund, kann aber nicht zuverlässig verhindern das pöhse Puben pädophilen islamistischen Raubmord-Kopier-Content in irgendeinem Unterverzeichnis des Webservers oder einer Tabelle der DB ablegen. Horrorszenario, mindestens so unwahrscheinlich wie vom Blitz getroffen zu werden. Aber würdest Du Dich bei einem Gewitter mit einem Eisenhelm auf dem Kopf auf einen Berg stellen, eine Eisenstange hoch halten und dabei rufen "Es gibt keine Götter"? Nein, würdest Du nicht. Also schließ die verdammten Ports, aber presto pronto ;-)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: snaxilian
derocco schrieb:
Es ist nur ein testsystem. Das wird alles noch angepasst.
Zum Vergrößern anklicken....
Denkbar schlechteste Herangehensweise.
Wenn sich Test- und Produktivumgebung derart voneinander unterscheiden wirst du früher oder später Probleme oder Fehler in Prod sehen, die du in Test nicht hattest bzw. Dinge, die in Test liefen aber in Prod plötzlich nicht mehr.

Wenn du auf die DB remote zugreifen willst: VPN oder SSH Tunnel oder mindestens die Firewall auf deine IP einschränken aber doch nicht alles und jeden erlauben.
 
  • Gefällt mir
Reaktionen: up.whatever
Es ist erst mal ein POC ob da alles so läuft wie wir das möchten.
Das ist alles noch nicht fix, aber bevor ich Zeit reinstecke....
Die Instanz läuft auch nur wenn ich die starte...

Einen Loadbalancer kann man da klar drauf machen. Aber das ist jetzt mal erst ein overkill
 
derocco schrieb:
Einen Loadbalancer kann man da klar drauf machen. Aber das ist jetzt mal erst ein overkill
Zum Vergrößern anklicken....
Naja der ALB spart dir Zeit. Du musst dich nicht um das Zertifikat auf der EC2 Instanz kümmern, weil der ALB die SSL Terminierung übernimmt und einfach als (Reverse)-Proxy dient. Ein ALB+ACM übernimmt automatisch das Erneuern des SSL-Zertifikats auf dem ALB und Zertifikate mit ACM kosten nix :)
 
Cokocool schrieb:
Naja der ALB spart dir Zeit. Du musst dich nicht um das Zertifikat auf der EC2 Instanz kümmern, weil der ALB die SSL Terminierung übernimmt und einfach als (Reverse)-Proxy dient. Ein ALB+ACM übernimmt automatisch das Erneuern des SSL-Zertifikats auf dem ALB und Zertifikate mit ACM kosten nix :)
Zum Vergrößern anklicken....
Ah nice, ich dachte der ALB kostet extra.

Aber dann brauche ich auch 2 Instanzen? Ein Loadbalancer mit einer Instanz würde ja am Thema Balancing vorbei gehen.
 
derocco schrieb:
dachte der ALB kostet extra
Zum Vergrößern anklicken....
Korrekt. Bei AWS intern lautet die wichtigste Frage zuerst immer: Wie kann ich das abrechnen und erst danach kommt: Was bringt es für Vorteile für den Kunden.

Du kannst auch einen ALB mit nur einer Instanz nutzen, dann ist es halt ein reiner Reverse Proxy mit TLS Terminierung. Das kann man entweder bei AWS zusammen klicken als ALB oder wenn man es will und technisch kann einen der unzähligen alternativen Loadbalancer/Reverse Proxy Varianten nehmen wie HAproxy, Traefik, Caddy, das jwilder-nginx-proxy Konstrukt oder irgendwelche kommerziellen Lösungen wie F5 Big-IP, Citrix NetScaler, irgendwas passendes von Kemp o.ä.
Wenn man sich nicht mit dem Betrieb/Wartung beschäftigen will oder kann, kauft man es halt als Service ein.
 
derocco schrieb:
Ah nice, ich dachte der ALB kostet extra.
Zum Vergrößern anklicken....
Der ALB kostet ein wenig Geld, aber dafür ist das Zertifikat+ACM kostenlos. Der ALB ist halt komplett serverless und wird von AWS gemanaged. Es spart also wertvolle Arbeitszeit

derocco schrieb:
Aber dann brauche ich auch 2 Instanzen? Ein Loadbalancer mit einer Instanz würde ja am Thema Balancing vorbei gehen.
Zum Vergrößern anklicken....
Eine Instanz reicht für nen PoC und versteif dich nicht auf den Namen Balancing. Auch ohne Nutzung von Loadbalancing hat der ALB genug Vorteile, die ich und @snaxilian bereits genannt haben.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: snaxilian
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Geräte verbinden sich mit falschem AVM-Repeater
Antworten
15
Aufrufe
972
redjack1000
R
Paul09
Fritz!Fon C4 läßt sich nicht Fritz!Box 6591 Cable verbinden, und immer PIN falsch.
3 4 5
Antworten
81
Aufrufe
1.873
Paul09
Paul09
D
Handys verbinden sich nicht automatisch mit Fritzbox
Antworten
17
Aufrufe
3.651
norKoeri
N
D
Beamer mit 5.1. System verbinden - welche HDMI Matrix?
2
Antworten
36
Aufrufe
2.070
drsoran2
D
Janxt
Geräte verbinden sich nicht mit WLAN
Antworten
10
Aufrufe
504
norKoeri
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz