25/07/2007 - Tanze Samba mit mir...
"Ja ist denn heut' scho Weihnachten?" So könnte der ein oder andere nun vielleicht denken, aber leider nein, es ist noch etwas Zeit. Aber trotzdem habe ich heute gleich zwei (!!) neue Tutorials online gestellt.
- Samba-Shares (sehr einfach gehalten)
- OpenVPN (lang ersehnt)
Hoffentlich lest ihr auch schon den dicken Hinweis zu Samba, falls nein, hier nochmal: Samba-Freigaben sind NICHT für das Internet gedacht. Die Sicherheitsrisiken sind viel zu groß, als dass man dies rechtfertigen könnte. Man kann sie zwar über VPN nutzen (daher auch das Tutorial), aber auf einem Webserver hat Samba wirklich nichts verloren. Da gibt es besseres, schnelleres, sichereres...
Ich wünsche euch viel Spaß damit und ich verabschiede mich nun für eine Weile nach China.
Servus.
20/07/2007 - vServer-Anbieter mit FreeBSD-Angebot
Ich habe mich auf die Suche nach einem vServer gemacht, auf dem FreeBSD läuft. Es war gar nicht so einfach einen Anbieter zu finden. Lediglich zwei Anbieter konnten mit einem FreeBSD-vServer aufwarten.
- ip-minds
- smartTERRA GmbH
Die smartTERRA GmbH bot mir einen vServer auf VMWare-Basis an. Preislich ziemlich günstig, die Anbindung und die Geschwindigkeit des Test-Servers war hervorragend und für meine Bedürfnisse absolut ausreichend. Sicherlich kann man das nicht mit einem echten Server vergleichen, aber für den Anfang kann man sicherlich damit arbeiten.
ip-minds hat mir, anders als smartTERRA, ein Angebot auf qemu-Basis gemacht. Preislich zwar etwas teurer, aber auch hier scheint das Preis/Leistungsverhältnis zu stimmen. Ich hatte zwar keinen Testserver zur Verfügung, aber der Support macht einen recht kompetenten Eindruck und reagierte schnell und umfangreich auf Anfragen.
Fazit: Wer also nach einem kleinen Einstiegsserver sucht, der ist bei smartTERRA und ip-minds bestens bedient. Ich habe noch einen anderen vServer-Provider im Auge, allerdings bietet dieser nur vServer auf XEN-Basis an. Und solange FreeBSD nicht stabil in einer XEN-Umgebung läuft, wird das nichts. Dieser wäre aber wohl leistungsmäßig mein Favorit. Wenn jemand auf NetBSD arbeiten will, da hätte ich jemanden...
18/07/2007 - pfspamd wird obspamd
Mit dem Update auf die Version 4.1 haben sich in der Konfiguration einige Änderungen ergeben. Sie ist jetzt Greylisting bspw. standardmäßig aktiviert, der Parameter "-b" heißt jetzt "-l" und die Parameter in der "/etc/rc.conf" haben sich entsprechend den Startup-Skripten in "/usr/local/etc/rc.d/" geändert. Zudem liegt die Konfigurationsdatei jetzt unter "/usr/local/etc/spamd" und der Benutzer/die Gruppe heißen jetzt "_spamd".
Das Tutorial habe ich schon überarbeitet: spamd installieren
18/07/2007 - "Woher weißt du wann ein Update fällig ist?"
...diese Frage kriege ich in letzter Zeit häufiger gestellt. Nun, FreeBSD aktuell zu halten ist wirklich sehr komfortabel. Unter "www.freshports.org" findet ihr eine äußerst komfortable Ports-Verwaltung. Ihr könnt hier herausfinden welche Ports es gibt, welche aktuell sind, den Änderungsverlauf verfolgen und das beste: ihr könnt hier bis zu 5 (auf Anfrage auch mehr) Watchlists anlegen, wo ihr alle Ports eintragen lassen könnt, die auf eurem Server installiert sind. So kriegt ihr einmal wöchentlich (Intervall einstellbar) eine E-Mail mit den Ports, die eine Aktualisierung bedürfen. Wie das funktioniert findet ihr auf der Website.
Alternativ könnt ihr auch folgenden Befehl ausführen, dann kriegt ihr eine Liste mit euren Ports, die nicht mehr aktuell sind:
# pkg_version -l "<"
Probiert es mal aus...
16/07/2007 - Ich wär' so gern ein Server...
Es ist heiß. Verdammt heiß. Draußen sind gefühlte 35°C und ich komme einfach mit dem Eisessen nicht nach. Vom Supermarkt bis in meine Wohnung schafft es kein Eis zu überleben. Selbst die Tiefkühltaschen haben Probleme.
Jetzt wäre ich gerne mein Server. Ein kurzer Blick auf die Temperaturen im Rechenzentrum: 26°C...ein Traum. Wäre man da nicht gerne Server? Im Kreise seiner Freunde in einem Regal stehen, es ist zwar höllisch laut, aber schön kühl...
Wie auch immer, ich arbeite weiter am Nameserver-Skript, das Backend ist fertig (das Statistik-Modul braucht noch bissl Feinarbeit und Tests), jetzt arbeite ich mich in das Zend Framework ein, um damit dann das Frontend zu gestalten.
Frohes Schwitzen...
14/07/2007 - Link-Verzeichnis aufgeräumt & neuer Artikel: "Admins haften für ihre Server!"
Heute morgen habe ich gleich mal das Link-Verzeichnis wieder auf Vordermann gebracht. Das war ja nicht gerade übersichtlich
aber jetzt ist für jedes Tutorial eine eigene Kategorie angelegt und sofern ein Link vorhanden ist, wird diese auch angezeigt, sodass es keine endlose Liste von Kategorien ohne Inhalte ist.
Wenn ihr gute Links zu den Themen wisst, so dürft ihr sie mir gerne mitteilen. Vielleicht baue ich noch ein Feature ein, mit dem ihr selbst Links eintragen könnt, sodass ich sie nach einer kurzen Prüfung aktivieren kann.
Mal sehen was ich als nächstes für euch realisiere...
Heute habe ich einen Artikel veröffentlicht, mit dem ich aufzuzeigen versuche, dass zur Administration eines Servers mehr als Confixx/Plesk und Tutorials (auch meine) gehören.
Menschenverstand, Lernbereitschaft und Pioniergeist sind untrennbar miteinander verbunden. Ich rate daher jedem der über den Betrieb eines Servers nachdenkt oder dies bereits tut, diesen Artikel zu lesen und sich Gedanken zu machen.
Keiner wird für Unterschätzung bestraft, aber Überschätzung kann ins Auge gehen.
Den Artikel findet ihr hier: "Admins haften für ihre Server!"
13/07/2007 - Subversion: Tutorial online
Geschafft. Das lang ersehnte Tutorial zu Subversion ist endlich online. Hab es nicht auf Apache2-Basis erstellt, das hatte ich ja schonmal angekündigt, ich habe die "light"-Version auf Basis von svnserve verwendet. Reicht für meine Ansprüche und frisst nicht soviel Resourcen.
Schaut es euch an und hoffentlich hilft es euch. Achja, zu MacOSX habe ich keinen Client den ich empfehlen könnte. Wenn ihr einen guten wisste: Mail an mich.
Schönes Wochenende. Ich habe seit heute Urlaub
12/07/2007 - MaraDNS - Logging konfigurieren
Mit der neuen Version des Start-Skriptes haben sich ein paar Änderungen bzgl. der Protokollierung von Anfragen ergeben. Jetzt basiert das ganze auf "duende", weshalb ein manueller Eingriff in die syslogd-Konfiguration von Nöten ist.
Wie das ganze funktioniert habe ich kurz zusammengefasst.
Link: Logging für MaraDNS
11/07/2007 - httpd.conf-Update
Mir ist aufgefallen, dass ich eine wichtige Einstellung in meiner Beispiel-httpd.conf vergessen habe, die ich euch unbedingt ans Herz legen möchte.
Fügt folgende Zeilen in der jeweiligen Liste ein bzw. an entsprechender Stelle auskommentieren:
LoadModule access_module libexec/apache/mod_access.so
(...)
AddModule mod_access.cWeiter unten fügt ihr dann folgende Zeilen ein, um das Anzeigen eurer ".ht*"-Files zu verhindern:
<FilesMatch "^\.ht">
Order allow,deny
Deny from all
</FilesMatch>Danach den Apache einmal neustarten. Ihr solltet diese Zeilen unbedingt einfügen!
10/07/2007 - name.serverzeit: Ein Logo muss her
Heute habe ich weiter am Interface für die Nameserversteuerung geschrieben. Bin recht zufrieden mit dem Ergebnis soweit. Werde noch ein paar Tests machen und dann die nächsten Meilensteine und Features angehen. Langsam brauche ich für meine Software-Projekte wirklich einen CVS-Server. Das wird wohl das erste sein was ich mache in meinem Urlaub.
Heute bin ich auch schon einen der wichtigsten Schritte gegangen: Ich habe ein Logo gemacht
Ok, ich bin kein Miro aber dennoch finde ich, ist es recht gut gelungen. Es wird wohl noch angepasst bis der Dienst mal anläuft, aber so in etwa könnte es aussehen:
Und, was sagt ihr dazu?
09/07/2007 - Feldversuch: name.serverzeit.de
Gestern habe ich angefangen, die Software für mein neues Projekt zu schreiben. Was das Projekt ist? Nun, im Moment läuft es erstmal unter "name.serverzeit.de" und sagt eigentlich schon alles aus. Es geht um DNS- bzw. Nameserverdienste.
Geplanter Leistungsumfang:
- kostenloser Secondary-DNS für Privatpersonen (Backlink als Gegenleistung)
- für gewerbliche Nutzung kostenpflichtig
- Webinterface für DNS-Verwaltung
- einfaches Loadbalancing via DNS-Server
- weitere Features je nach Idee
Ich muss aber noch abklären, ob ich den kostenlosen Teil unter meinem Namen ohne Gewerbeanmeldung betreiben kann, oder ob ich beide Dienste besser unter meinem Gewerbe betreibe.
Ob Bedarf da ist kann ich noch nicht so abschätzen, bisher habe ich auf unixboard.de eine Umfrage gestartet, die bisher noch wenig Anklang fand, aber wohl auch die falsche Zielgruppe. Ich hab jedenfalls nen secondary DNS gesucht und keinen gefunden der das tat was ich wollte. So bin ich drauf gekommen :)
Sobald ich Beta-Tester suche, gebe ich bescheid :)
07/07/2007 - OpenSPF - Der Personalausweis des Mailservers
Heute habe ich es endlich geschafft, die für mich teils verwirrende Dokumentation des "Sender Policy Frameworks" (kurz: SPF) zu entschlüsseln und DNS-Einträge für meine Domains zu erstellen. Da ich vielleicht nicht der einzige bin der Schwierigkeiten damit hat, habe ich kurzerhand ein kurzes Tutorial geschrieben. Vielleicht versteht man dann besser worum es geht und wie einfache Beispiele aussehen.
Der Link: "OpenSPF-Eintrag"
Irgendwann werde ich noch beschreiben, wie man eine entsprechende SPF-Prüfung in Postfix einbaut. Zum jetzigen Zeitpunkt sehe ich dazu noch keine Veranlassung, da diese Einträge wohl auch noch nicht so sehr verbreitet sind?!
06/07/2007 - Bilder-Klau im Internet
Wenn andere Leute auf die Grafiken eurer Webseiten verlinken, also sie praktisch von eurer Seite einbinden, verbrauchen sie euren Traffic und euren Speicherplatz. Da dies sehr schnell sehr teuer werden kann (je nach Anzahl der Aufrufe der fremden Seite), versucht man dies zu unterbinden.
Ich habe dafür folgende Rewrite-Regeln, die mir erlauben, nur bestimmte Domains für das direkte Verlinken freizuschalten. In dem Array darunter lege ich fest, welche Dateitypen betroffen sind. Wenn jemand nun versucht direkt darauf zuzugreifen, erhält er eine Fehler 403-Meldung: Access denied:
RewriteEngine on
RewriteBase /
RewriteCond %{HTTP_REFERER} !^-$
RewriteCond %{HTTP_REFERER} !^http://(blog\.)?niessen\.in(/.*)?$ [NC]
RewriteCond %{HTTP_REFERER} !^http://(www\.)?serverzeit\.de(/.*)?$ [NC]
RewriteRule \.(jpg|JPG|gif|GIF|pdf|PDF|png|PNG)$ - [F]
04/07/2007 - HTTP TRACE deaktivieren & RSS-Feed
Heute habe ich endlich das lang ersehnte RSS-Feed eingebunden. Jetzt könnt ihr euch bequem über Neuigkeiten auf dem Laufenden halten. Um das RSS-Feed in euren Reader einzubinden, habt ihr zwei Möglichkeiten:
- Ihr könnt (beim Firefox bspw. in der Adresszeile) das Symbol eures Browsers verwenden um den Feed einzubinden,
- oder ihr klickt auf das RSS-Logo unten rechts auf der News-Seite. Das sollte dann euren Newsreader öffnen, wenn er richtig installiert ist.
Wenn ihr nur einen bestimmten Monat abonnieren möchtet, so ergänzt bei dem Link einfach ein "<Monat><Jahr>". Beispiel: http://www.serverzeit.de/News/rss/Juli2007
Ich habe von einem netten Menschen eine Testversion von einer Software erhalten, mit der man Web-Applikationen auf Verwundbarkeiten hin überprüfen kann. Da die meisten Sicherheitslücken von Skripten/Applikationen eingeführt werden, habe ich gleich mal meine Software und den Webserver überprüft. So stellte sich heraus, dass der Apache das sogenannte "HTTP TRACE" unterstützt, was zum "Klauen" von Session-Daten genutzt werden könnte.
Um HTTP TRACE zu deaktivieren musst du folgende Zeilen sowohl in den allgemeinen Bereich der Apache-Konfiguration (in der httpd.conf also) eintragen und ebenso bei jedem <VirtualHost>...</VirtualHost>-Bereich:
RewriteEngine On
Danach den Apache natürlich neustarten. Meine Beispiel-httpd.conf habe ich dahingehend schon aktualisiert.
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
03/07/2007 - Pig Sentry: Realtime Snort-Log-Analyse
Heute bin ich auf der Suche nach einem alternativen Snort-Log-Parser auf dieses kleine Skript gestoßen. Es läuft als Daemon im Hintergrund und analysiert die Logfiles von Snort in Realtime. Jedesmal wenn sich eine Änderung ergibt, verschickt es eine E-Mail an den Admin (das bin ich). Aber damit es nicht alle 2 Minuten eine Mail schickt, schickt es nicht ständig Mails, sondern warnt einmal und beobachtet diese Meldung. Wenn sich irgendwas signifikant ändert, dann meldet es dies erneut. Ist das jetzt klar?
Es versucht, kurz gesagt, nicht zu nervös zu sein.
Das entsprechende Tutorial findet ihr hier: Parser: Pig Sentry
Hier der Link: Pig Sentry
02/07/2007 - PHP je Host konfigurieren
Ich habe in den letzten Tagen einige Mails erhalten mit der Frage bzw. auch dem Hinweis darauf, dass nicht nur die von mir genannten PHP-Parameter (flags) in der httpd.conf gesetzt werden können. Das ist richtig und wurde von mir nicht ganz klar dargestellt.
Auf der Seite von PHP finder ihr eine Übersicht über sämtliche Parameter und eine Info, wo ihr diesen Parameter setzen könnt: http://www.php.net/manual/de/ini.phpEs gibt dabei 4 Klassifizierungen:
So, und nun viel Spaß damit :-)
- PHP_INI_USER: Dieser flag kann in den Skripten der User gesetzt werden
- PHP_INI_PERDIR: Dieser flag kann in der php.ini, einer .htaccess oder in der httpd.conf gesetzt werden
- PHP_INI_SYSTEM: Dieser flag kann in der php.ini oder der httpd.conf gesetzt werden
- PHP_INI_ALL: Dieser flag kann überall gesetzt werden
