24. Dez. Frohe Weihnachten!

von am

Ich wünsche euch allen ein frohes Weihnachtsfest!

Euer Benedikt

21. Dez. VPN-Tutorial um pf-Regeln ergänzt

von am

Kurz vor Weihnachten habe ich das VPN-Tutorial noch um die Firewallregeln ergänzt, die ihr bei PF ergänzen müsst, sodass die VPN-Verbindung auch erfolgreich aufgebaut werden kann. Wenn es Unklarheiten gibt, einfach bescheid sagen.

09. Dez. Kostenloser Secondary-DNS

von am

Wer kennt das nicht, man will volle Kontrolle über seinen Server und damit auch Nameserver haben, hat aber keinen zweiten Server zur Hand um darauf einen weiteren Nameserver zu betreiben.

Zwar sind Nameserver in der Anmietung nicht wirklich teuer (ab 0,99 Euro), aber für manche Zwecke ist selbst das zu teuer. Hier bietet das Projekt "SlaveDNS" von INPS Abhilfe. Hier gibt es einen kostenlosen Secondary-DNS und ein Webinterface, mit dem das ganze gesteuert werden kann.

Der Dienst ist noch recht jung und eher spartanisch im Auftritt, aber solange der Secondary-DNS funktioniert sollte das nicht weiter stören.

Link: INPS.de

05. Dez. Wartungsarbeiten am 06.12.

von am

Juhu, morgen ist Nikolaus und der Server kriegt ne neue Festplatte.

Da er mit Auspacken beschäftigt sein wird, ist serverzeit.de morgen früh von 8 bis ca. 9 Uhr nicht/nur eingeschränkt erreichbar.

 Danke für euer Verständnis.

04. Dez. Es weihnachtet...ist es schon so spät?

von am

Ich habe mir heute überlegt, nicht nur Tutorials zu FreeBSD online zu stellen, ich werde wohl auch eine Kategorie einführen, in der einfach Probleme gelöst werden, die man dank seines FreeBSD-Servers einfach lösen kann. Sicherlich kann man das auch mit anderen Systemen.

Beispielsweise habe ich hin und wieder das Problem, dass ich gerne eine E-Mail schicken will, mich aber gerade auf der Uni befinde. Eigentlich kein Problem, aber der SMTP-Port ist im Uni-Netz nach außen gesperrt, um den Missbrauch durch Spamversender zu verhindern.

Nun habe ich ein kleines Tutorial zunächst in meinem Blog veröffentlicht, aber ähnliches werde ich auch auf serverzeit.de einstellen, das beschreibt, wie man einen SSH-Tunnel herstellen kann, um den eigenen SMTP-Server dennoch verwenden zu können.

15. Nov. "Hänschen piep einmal..."

von am

Unglaublich, aber wahr: Es geht voran.

Ich habe selbst nicht dran geglaubt, aber trotz meiner zahlreichen Tätigkeiten neben meinem Studium (ich schreibe gerade fleißig Diplomarbeit) geht es mit maraSQL weiter voran. Sicher, es fehlen noch viele, viele Features, aber ich pirsche mich langsam vor. Etwas Probleme hab ich noch mit der Umsetzung des Layouts, sodass es nicht zu Darstellungsfehlern in den MS-Produkten kommt.

Auf serverzeit.de gibt es derzeit nicht sehr viel Neues. Ich habe einige Anfragen bekommen, ob es serverzeit.de auch speziell für Home- bzw. LAN-Server geben wird und mit diesem Gedanken spiele ich tatsächlich, allerdings werde ich das nicht alleine machen, ich habe ein paar Mitschreiber gewinnen können, die auch interessiert wären, das ein oder andere Tutorial zu schreiben.

Ich versuche euch auf dem Laufenden zu halten, aber ich halte es für etwas unsinnig, jede Woche zu schreiben "Es wächst, aber man kann noch nix sehen!". Wenn es was zu sehen/testen gibt, geb ich natürlich bescheid.

14. Okt. Wartungsarbeiten 13./14.10.

von am

So, Wartungsarbeiten sind fast abgeschlossen, sämtliche Software ist wieder auf dem aktuellen Stand, lediglich mit den Kommentaren kämpfe ich noch.

Ich hoffe ihr habt von der Downtime nicht allzuviel mitbekommen. Ich hab versucht es in Grenzen zu halten.

Danke für euer Verständnis.

12. Okt. Einige Updates, auch für FreeBSD

von am

HINWEIS: Samstag nacht (13.10.2007), so ab ca. 22 Uhr werden Wartungarbeiten am Server vorgenommen. Da ihr dann eh alle auf Party seid, sollte das nicht weiter stören. Mit Einschränkungen in der Erreichbarkeit ist daher zu rechnen.

Ich habe ein weiteres Tutorial online gestellt, und zwar wie man sein FreeBSD-System (Basissystem) aktuell hält. Seit der Version 6.2 ist es ja Teil der Grundausstattung von FreeBSD: freebsd-update. Das Tutorial findet ihr unter "Software updaten".

Der eigentliche Grund dieser News allerdings ist das "Qualitätsmanagement", dem serverzeit.de derzeit unterzogen wird. Aron S. ist derzeit damit beschäftigt, die Tutorials quer zu lesen und auf inhaltliche Fehler zu überprüfen. Vielen Dank an dieser Stelle nochmals dafür!!

Aron ist auch der Grund, warum sich bereits einige Dinge geändert haben und einzelne Fehler behoben wurden. Es sind relativ wenig schwere Fehler (manche haben sich auch eingeschlichen), es geht hauptsächlich um die saubere Darstellung von Sachverhalten, sodass keine Missverständnisse aufkommen, Ausdrucksfehler (z.B. Verzeichnis != Ordner) und die sauberere Lösung von Problemen (z.B. read-only mounten des Portstrees in Jails).

Bisher sind von den Änderungen betroffen:

Es stehen noch weitere Änderungen an, allerdings komme ich im Moment zeitlich nicht dazu. Diese werde ich nach und nach einarbeiten.

Nochmals vielen Dank an Aron für die großartige Hilfe. 

08. Okt. BSDInstall.de - viel zu sehen & lernen

von am

Ich wurde von Dirk A. auf eine neue (?) Seite aufmerksam gemacht, die ebenfalls eine große Zahl von FreeBSD-Tutorials bereit hält. Allerdings handelt es sich hierbei eher um den Einsatz von FreeBSD für den Desktop.

FreeBSD ist natürlich nicht nur für den Serverbetrieb so wie ich ihn hier beschreib bestens geeignet, auch für den Desktopbetrieb ist FreeBSD eine performante Alternative zu Linux, von Windows ganz zu schweigen. Wer sich also näher mit dem Einsatz von FreeBSD auf seinem Desktop informieren möchte, sollte unbedingt aufwww.bsdinstall.de vorbeischauen. Der Link zu der Seite wurde auch in das Link-Verzeichnis mit aufgenommen.

06. Okt. pf-Tutorial überarbeitet

von am

Aron S. hat mich auf einen Fehler in der PF-Konfiguration hingewiesen, den ich behoben habe. Ich habe fälschlicherweise 2 NATs konfiguriert. Das ist mir nicht weiter aufgefallen, es sich nicht beeinträchtigt hat. Das liegt aber vielleicht auch daran, dass keine Parameter übergeben wurden.

Da wir mit pf bereits NAT konfiguriert haben, können die Zeilen natd_enable="YES", natd_interface="rl0" und natd_flags="" aus der /etc/rc.conf gelöscht werden. Ich habe beim Publizieren zwei Aufzeichnungen vermischt. Aber da es eben wie gesagt zu keinem Fehler kam, ist es mir nicht aufgefallen.

Aron S. hat sich bereit erklärt sich meine Tutorials mal anzusehen und mich auf Fehler hinzuweisen. Mir fällt es mittlerweile schwer verdeckte Fehler zu finden. Ich zwar für das Re-Design nochmal eine Qualitätsprüfung machen. Versprochen.

04. Okt. Geplante Downtime am 05.10.2007

von am

In letzter Zeit häuft es sich etwas, aber morgen früh um 8 Uhr geht der Server erneut für kurze Zeit offline. Der Fehler wurde gefunden, und zwar hat eine Festplatte anscheinend den Geist aufgegeben.

Morgen früh wird sie ausgebaut und gegen eine neue getauscht. Daher die Downtime. Ich bitte um Entschuldigung! 

02. Okt. Sicherheitshinweise für Apache-Server

von am

Ich habe das Apache-Tutorial etwas ergänzt, und zwar um die Flags die man in der httpd.conf setzen kann, um virtualhostspezifisch (doofe Wortkreation) PHP-Einstellungen zu ändern.

Tipp 1: Schalte alles ab was nicht gebraucht wird.
Wenn du auf deinem Server nur statische Inhalte hinterlegt hast, dann deaktiviere PHP beispielsweise.

Tipp 2: Schalte den Safe-Mode standardmäßig in der php.ini ein. 
Auch dort, wo ein Deaktivierter Safe-Mode nicht explizit von einer Software gefordert wird, solltest du ihn einschalten. Er ist zwar kein Garant für eine sichere PHP-Umgebung, aber mehr ist besser als weniger.

Tipp 3: Prüfe nochmal genau welche Funktionen du in der php.ini deaktiviert hast.
Auch hier gilt, lieber zuviele Funktionen deaktiviert als zu wenige. Aktivieren kann man bei Problemen immernoch. 

02. Okt. CRAM-MD5 für den Mailserver

von am

Habe gestern das Tutorial um einen Abschnitt erweitert, und zwar wie man die Passwörter von PLAINTEXT auf CRAM-MD5 umstellt. Das ist nochmal sicherer als das was wir bisher genutzt haben.

Der Nachteil ist allerdings, dass Passwörter nicht mehr per postfixadmin geändert werden können, diese müssen über die Konsole erstellt (eigentlich die Hash-Werte) werden und dann händisch in die Datenbank eingetragen werden.

Ob ich hierfür noch ein Skript schreiben werde wird sich zeigen.

27. Sep. Es ist still...

von am

In letzter Zeit ist es ziemlich still um serverzeit.de geworden, aber der Schein trügt. Nicht nur dass ich mit Hochdruck an meiner Diplomarbeit arbeite, so arbeite ich im Hintergrund an maraSQL, obwohl das nur sehr schleppend voran geht, ich arbeite am "Facelift" für serverzeit.de und, ganz wichtig, arbeite ich an neuen Tutorials.

Die Liste mit Tutorials sollte ich eigentlich her nehmen und abarbeiten, aber es kommen immer wieder andere Dinge dazwischen, wo es sich anbietet ein Tutorial zu schreiben. Beispiel: PostgreSQL, openLDAP und Apache 2.2. Lighttpd wollte ich demnächst auch nochmal intensiver testen, aber bisher kam ich nicht dazu.

Ich habe in letzter Zeit zudem zahlreiche E-Mails mit Supportanfragen erhalten. Es freut mich zwar sehr, dass viele meine Tutorials lesen, aber nochmal die Bitte: Habt Geduld und gebt mir Zeit eure Fragen zu beantworten.

So, dann mal nen schönen Abend und "stay tuned"

24. Sep. Wartungsarbeiten

von am

Es wird Zeit den Server zu warten, daher wird serverzeit.de (und meine anderen Seiten auch) von 14 Uhr bis ca. 16 Uhr nicht erreichbar sein.

Danke für euer Verständnis.

13. Sep. Neuer alter Nameserver

von am

Heute habe ich einen weiteren Nameserver zu Testzwecken online gestellt. Dieser wird hauptsächlich für die Entwicklung von maraSQL dienlich sein.

Ob er in den produktiven Einsatz gehen wird ist noch unklar, im Moment bin ich erstmal froh dass ich ihn habe. Er stellt zwar nur 2 Zonen bereit im Moment, aber das reicht auch. Ich hoffe, dass meine anderen Arbeiten schneller voran gehen, sodass maraSQL bald das Licht der Welt erblickt... 

10. Sep. Werbung in Kommentaren

von am

Hin und wieder finde ich in den Kommentaren Links auf Softwareprodukte oder Unternehmen. Zwar sind diese thematisch meist richtig eingeordnen, aber haben bspw. nichts mit FreeBSD zu tun oder sind nicht einmal damit kompatibel.

Ich freue mich sehr wenn sich auch Unternehmen für meine Seite interessieren. Jede Werbung in Kommentaren fasse ich als Wunsch auf, mich finanziell bei diesem Projekt zu unterstützen, was natürlich gerne gesehen ist.

Aber wenn jemand Werbung machen möchte und mich finanziell bei diesem Projekt unterstützen möchte, dann bitte erst per Mail kontaktieren und wir können besprechen wie man mich unterstützen kann. Ohne mich zu fragen geht das natürlich nicht, ich will ja auch kein Graffiti am Haus ohne mich vorher zu fragen...

Also nochmal deutlich: Plakatieren verboten!

05. Sep. Änderungen stehen an

von am

"Die meisten Menschen wollen lieber durch Lob ruiniert als durch Kritik gerettet werden!" - das soll für mich nicht gelten!

Ich habe eine lange Mail von Christoph S. erhalten, indem er einige Dinge an den Tutorials auf serverzeit.de kritisiert bzw. sich Ergänzungen und Verbesserungen wünscht. Vielen Dank nochmal an der Stelle für deine Bemühungen.

Keiner soll mir schlechten "Kunden-"Service oder Ignoranz vorwerfen, daher werde ich mir all diese Kritikpunkte genau ansehen, für mich bewerten ob sinnvoll oder nicht und dann entsprechend darauf reagieren. Da ich aus zeitlichen Gründen allerdings nicht ständig große Veränderungen vornehmen kann und will, möchte ich alle bitten, die Verbesserungsvorschläge für serverzeit.de haben, mir diese bis Ende September in einer Mail mitzuteilen. Dann werden diese in den Überarbeitungsprozess mit einbezogen. Kleine Änderungen wie textliche Ergänzungen sind natürlich immer möglich.

Also haut in die Tasten, bei dem schlechten Wetter hat man eh nichts besseres vor.

Vielen Dank für eure Hilfe! 

30. Aug. maraSQL: Hier kommt das GUI

von am

So, es gibt wieder was neues bzgl. der Entwicklung von maraSQL. Um eine Anwendung besser programmieren zu können, beginne ich gerne mit der grafischen Aufmachung um zu sehen, wo was hin kommt und ob ich lieber eine mehrstufige Benutzerführung mache etc.

Eine Featureliste habe ich erstellt und das Layout für die Website bzw. das Design für die Weboberfläche sind ziemlich fertig. Habe es auch bereits in HTML/CSS umgesetzt und werde mich nun langsam an die Programmierung der Funktionen machen.

Geplant sind Features wie Multi-Server-Fähigkeit, Usermanagement und selbstverständlich die komplette Konfiguration von maraDNS, dafür wird die Anwendung schließlich geschrieben.

24. Aug. Weboberfläche für maraDNS: maraSQL

von am

Nachdem ich nun wohl endlich "mein" Framework gefunden habe, liegen meine derzeitigen Bemühungen in der Fertigstellung der Weboberfläche für den DNS-Server "maraDNS". Unter dem Namen "maraSQL" wird das ganze wahrscheinlich veröffentlicht werden.

Das bisher nötige Perl-Backend ist bereits fertig und wird nurmehr um wenige Features erweitert werden. Die Statistikfunktion funktioniert auch schon recht gut, es sind vielleicht noch ein paar Fehler drin, die ausgemärzt werden müssen, aber es sieht schon ganz gut aus.

14. Aug. Anbindungsprobleme

von am

Vielleicht ist es euch schon aufgefallen, derzeit ist die Erreichbarkeit dieses Servers etwas eingeschränkt. Die Pingzeiten liegen zwischen 440 und 900ms. Das ist nicht gut und ist nicht normal. Das Problem liegt laut RZ-Betreiber am Peering Telekom <-> Cognet.

Das Problem wird noch ein paar Tage bestehen wie es aussieht, bis dahin bitte ich die vielleicht etwas langsamere Anbindung zu entschuldigen.

UPDATE: Das Problem scheint behoben zu sein. Die Ping-Zeiten sind jetzt wieder normal.

10. Aug. Dovecot: "logins (...) not permitted (see login_user in config file)"

von am

Heute hab ich den Dovecot IMAP-Server auf die Version 1.0.3 upgedatet und dabei ist mir in den Logfiles eine seltsame Fehlermeldung aufgefallen:

".Error: Logins with login process UID 150 (user XXX) 
not permitted (see login_user in config file)."

Anscheinend trat die in meiner vorherigen Konfiguration auch schon auf, aber hat nicht zu Problemen geführt. Jedenfalls habe ich meine Beispiel-Konfigurationsdatei, die ihr im Tutorial downloaden könnt, dahingehend abgeändert, als dass ich die Zeile "login_user" auskommentiert habe. Dadurch bindet er sich nur an die UID und nicht mehr an den "falschen" login_user.

07. Aug. Ohne iPod zurück...

von am

So, da bin ich wieder. Mein iPod nicht. Man will es kaum glauben, aber dieser wurde mir beim Sicherheitscheck am Flughafen in Amsterdam geklaut. Unglaublich aber war. Und das beste: Es gibt dort keine Kameraüberwachung. MP3-Player adé.

Nichts desto trotz, hier gehts bald weiter. 

25. Juli Tanze Samba mit mir...

von am

"Ja ist denn heut' scho Weihnachten?" So könnte der ein oder andere nun vielleicht denken, aber leider nein, es ist noch etwas Zeit. Aber trotzdem habe ich heute gleich zwei (!!) neue Tutorials online gestellt.

  1. Samba-Shares (sehr einfach gehalten)
  2. OpenVPN (lang ersehnt)

Hoffentlich lest ihr auch schon den dicken Hinweis zu Samba, falls nein, hier nochmal: Samba-Freigaben sind NICHT für das Internet gedacht. Die Sicherheitsrisiken sind viel zu groß, als dass man dies rechtfertigen könnte. Man kann sie zwar über VPN nutzen (daher auch das Tutorial), aber auf einem Webserver hat Samba wirklich nichts verloren. Da gibt es besseres, schnelleres, sichereres...

Ich wünsche euch viel Spaß damit und ich verabschiede mich nun für eine Weile nach China.

Servus.

20. Juli vServer-Anbieter mit FreeBSD-Angebot

von am

Ich habe mich auf die Suche nach einem vServer gemacht, auf dem FreeBSD läuft. Es war gar nicht so einfach einen Anbieter zu finden. Lediglich zwei Anbieter konnten mit einem FreeBSD-vServer aufwarten.

  1. ip-minds
  2. smartTERRA GmbH 

Die smartTERRA GmbH bot mir einen vServer auf VMWare-Basis an. Preislich ziemlich günstig, die Anbindung und die Geschwindigkeit des Test-Servers war hervorragend und für meine Bedürfnisse absolut ausreichend. Sicherlich kann man das nicht mit einem echten Server vergleichen, aber für den Anfang kann man sicherlich damit arbeiten.

ip-minds hat mir, anders als smartTERRA, ein Angebot auf qemu-Basis gemacht. Preislich zwar etwas teurer, aber auch hier scheint das Preis/Leistungsverhältnis zu stimmen. Ich hatte zwar keinen Testserver zur Verfügung, aber der Support macht einen recht kompetenten Eindruck und reagierte schnell und umfangreich auf Anfragen.

Fazit: Wer also nach einem kleinen Einstiegsserver sucht, der ist bei smartTERRA und ip-minds bestens bedient. Ich habe noch einen anderen vServer-Provider im Auge, allerdings bietet dieser nur vServer auf XEN-Basis an. Und solange FreeBSD nicht stabil in einer XEN-Umgebung läuft, wird das nichts. Dieser wäre aber wohl leistungsmäßig mein Favorit. Wenn jemand auf NetBSD arbeiten will, da hätte ich jemanden...

18. Juli pfspamd wird obspamd

von am

Mit dem Update auf die Version 4.1 haben sich in der Konfiguration einige Änderungen ergeben. Sie ist jetzt Greylisting bspw. standardmäßig aktiviert, der Parameter "-b" heißt jetzt "-l" und die Parameter in der "/etc/rc.conf" haben sich entsprechend den Startup-Skripten in "/usr/local/etc/rc.d/" geändert. Zudem liegt die Konfigurationsdatei jetzt unter "/usr/local/etc/spamd" und der Benutzer/die Gruppe heißen jetzt "_spamd".

Das Tutorial habe ich schon überarbeitet: spamd installieren

18. Juli "Woher weißt du wann ein Update fällig ist?"

von am

...diese Frage kriege ich in letzter Zeit häufiger gestellt. Nun, FreeBSD aktuell zu halten ist wirklich sehr komfortabel. Unter "www.freshports.org" findet ihr eine äußerst komfortable Ports-Verwaltung. Ihr könnt hier herausfinden welche Ports es gibt, welche aktuell sind, den Änderungsverlauf verfolgen und das beste: ihr könnt hier bis zu 5 (auf Anfrage auch mehr) Watchlists anlegen, wo ihr alle Ports eintragen lassen könnt, die auf eurem Server installiert sind. So kriegt ihr einmal wöchentlich (Intervall einstellbar) eine E-Mail mit den Ports, die eine Aktualisierung bedürfen. Wie das funktioniert findet ihr auf der Website.

Alternativ könnt ihr auch folgenden Befehl ausführen, dann kriegt ihr eine Liste mit euren Ports, die nicht mehr aktuell sind:

# pkg_version -l "<"

Probiert es mal aus...

16. Juli Ich wär' so gern ein Server...

von am

Es ist heiß. Verdammt heiß. Draußen sind gefühlte 35°C und ich komme einfach mit dem Eisessen nicht nach. Vom Supermarkt bis in meine Wohnung schafft es kein Eis zu überleben. Selbst die Tiefkühltaschen haben Probleme.

Jetzt wäre ich gerne mein Server. Ein kurzer Blick auf die Temperaturen im Rechenzentrum: 26°C...ein Traum. Wäre man da nicht gerne Server? Im Kreise seiner Freunde in einem Regal stehen, es ist zwar höllisch laut, aber schön kühl...

Wie auch immer, ich arbeite weiter am Nameserver-Skript, das Backend ist fertig (das Statistik-Modul braucht noch bissl Feinarbeit und Tests), jetzt arbeite ich mich in das Zend Framework ein, um damit dann das Frontend zu gestalten.

Frohes Schwitzen...

14. Juli Link-Verzeichnis aufgeräumt & neuer Artikel: "Admins haften für ihre Server!"

von am

Heute morgen habe ich gleich mal das Link-Verzeichnis wieder auf Vordermann gebracht. Das war ja nicht gerade übersichtlich aber jetzt ist für jedes Tutorial eine eigene Kategorie angelegt und sofern ein Link vorhanden ist, wird diese auch angezeigt, sodass es keine endlose Liste von Kategorien ohne Inhalte ist.

Wenn ihr gute Links zu den Themen wisst, so dürft ihr sie mir gerne mitteilen. Vielleicht baue ich noch ein Feature ein, mit dem ihr selbst Links eintragen könnt, sodass ich sie nach einer kurzen Prüfung aktivieren kann.

Mal sehen was ich als nächstes für euch realisiere... 

Heute habe ich einen Artikel veröffentlicht, mit dem ich aufzuzeigen versuche, dass zur Administration eines Servers mehr als Confixx/Plesk und Tutorials (auch meine) gehören.

Menschenverstand, Lernbereitschaft und Pioniergeist sind untrennbar miteinander verbunden. Ich rate daher jedem der über den Betrieb eines Servers nachdenkt oder dies bereits tut, diesen Artikel zu lesen und sich Gedanken zu machen.

Keiner wird für Unterschätzung bestraft, aber Überschätzung kann ins Auge gehen.

Den Artikel findet ihr hier: "Admins haften für ihre Server!"

13. Juli Subversion: Tutorial online

von am

Geschafft. Das lang ersehnte Tutorial zu Subversion ist endlich online. Hab es nicht auf Apache2-Basis erstellt, das hatte ich ja schonmal angekündigt, ich habe die "light"-Version auf Basis von svnserve verwendet. Reicht für meine Ansprüche und frisst nicht soviel Resourcen.

Schaut es euch an und hoffentlich hilft es euch. Achja, zu MacOSX habe ich keinen Client den ich empfehlen könnte. Wenn ihr einen guten wisste: Mail an mich.

Schönes Wochenende. Ich habe seit heute Urlaub

12. Juli MaraDNS - Logging konfigurieren

von am

Mit der neuen Version des Start-Skriptes haben sich ein paar Änderungen bzgl. der Protokollierung von Anfragen ergeben. Jetzt basiert das ganze auf "duende", weshalb ein manueller Eingriff in die syslogd-Konfiguration von Nöten ist.

Wie das ganze funktioniert habe ich kurz zusammengefasst.

Link: Logging für MaraDNS

11. Juli httpd.conf-Update

von am

Mir ist aufgefallen, dass ich eine wichtige Einstellung in meiner Beispiel-httpd.conf vergessen habe, die ich euch unbedingt ans Herz legen möchte.

Fügt folgende Zeilen in der jeweiligen Liste ein bzw. an entsprechender Stelle auskommentieren:

LoadModule access_module libexec/apache/mod_access.so
(...)
AddModule mod_access.c

Weiter unten fügt ihr dann folgende Zeilen ein, um das Anzeigen eurer ".ht*"-Files zu verhindern: 

<FilesMatch "^\.ht">
Order allow,deny
Deny from all
</FilesMatch>

Danach den Apache einmal neustarten. Ihr solltet diese Zeilen unbedingt einfügen!

10. Juli name.serverzeit: Ein Logo muss her

von am

Heute habe ich weiter am Interface für die Nameserversteuerung geschrieben. Bin recht zufrieden mit dem Ergebnis soweit. Werde noch ein paar Tests machen und dann die nächsten Meilensteine und Features angehen. Langsam brauche ich für meine Software-Projekte wirklich einen CVS-Server. Das wird wohl das erste sein was ich mache in meinem Urlaub.

Heute bin ich auch schon einen der wichtigsten Schritte gegangen: Ich habe ein Logo gemacht. Ok, ich bin kein Miro aber dennoch finde ich, ist es recht gut gelungen. Es wird wohl noch angepasst bis der Dienst mal anläuft, aber so in etwa könnte es aussehen:

Und, was sagt ihr dazu?

09. Juli Feldversuch: name.serverzeit.de

von am

Gestern habe ich angefangen, die Software für mein neues Projekt zu schreiben. Was das Projekt ist? Nun, im Moment läuft es erstmal unter "name.serverzeit.de" und sagt eigentlich schon alles aus. Es geht um DNS- bzw. Nameserverdienste.

Geplanter Leistungsumfang:

  • kostenloser Secondary-DNS für Privatpersonen (Backlink als Gegenleistung)
  • für gewerbliche Nutzung kostenpflichtig
  • Webinterface für DNS-Verwaltung
  • einfaches Loadbalancing via DNS-Server
  • weitere Features je nach Idee

Ich muss aber noch abklären, ob ich den kostenlosen Teil unter meinem Namen ohne Gewerbeanmeldung betreiben kann, oder ob ich beide Dienste besser unter meinem Gewerbe betreibe.

Ob Bedarf da ist kann ich noch nicht so abschätzen, bisher habe ich auf unixboard.de eine Umfrage gestartet, die bisher noch wenig Anklang fand, aber wohl auch die falsche Zielgruppe. Ich hab jedenfalls nen secondary DNS gesucht und keinen gefunden der das tat was ich wollte. So bin ich drauf gekommen :)

Sobald ich Beta-Tester suche, gebe ich bescheid :) 

07. Juli OpenSPF - Der Personalausweis des Mailservers

von am

Heute habe ich es endlich geschafft, die für mich teils verwirrende Dokumentation des "Sender Policy Frameworks" (kurz: SPF) zu entschlüsseln und DNS-Einträge für meine Domains zu erstellen. Da ich vielleicht nicht der einzige bin der Schwierigkeiten damit hat, habe ich kurzerhand ein kurzes Tutorial geschrieben. Vielleicht versteht man dann besser worum es geht und wie einfache Beispiele aussehen.

Der Link: "OpenSPF-Eintrag"

Irgendwann werde ich noch beschreiben, wie man eine entsprechende SPF-Prüfung in Postfix einbaut. Zum jetzigen Zeitpunkt sehe ich dazu noch keine Veranlassung, da diese Einträge wohl auch noch nicht so sehr verbreitet sind?! 

06. Juli Bilder-Klau im Internet

von am

Wenn andere Leute auf die Grafiken eurer Webseiten verlinken, also sie praktisch von eurer Seite einbinden, verbrauchen sie euren Traffic und euren Speicherplatz. Da dies sehr schnell sehr teuer werden kann (je nach Anzahl der Aufrufe der fremden Seite), versucht man dies zu unterbinden.

Ich habe dafür folgende Rewrite-Regeln, die mir erlauben, nur bestimmte Domains für das direkte Verlinken freizuschalten. In dem Array darunter lege ich fest, welche Dateitypen betroffen sind. Wenn jemand nun versucht direkt darauf zuzugreifen, erhält er eine Fehler 403-Meldung: Access denied:

RewriteEngine on
RewriteBase /

RewriteCond %{HTTP_REFERER} !^-$
RewriteCond %{HTTP_REFERER} !^http://(blog\.)?niessen\.in(/.*)?$ [NC]
RewriteCond %{HTTP_REFERER} !^http://(www\.)?serverzeit\.de(/.*)?$ [NC]
RewriteRule \.(jpg|JPG|gif|GIF|pdf|PDF|png|PNG)$ - [F]

04. Juli HTTP TRACE deaktivieren & RSS-Feed

von am

Heute habe ich endlich das lang ersehnte RSS-Feed eingebunden. Jetzt könnt ihr euch bequem über Neuigkeiten auf dem Laufenden halten. Um das RSS-Feed in euren Reader einzubinden, habt ihr zwei Möglichkeiten:

  1. Ihr könnt (beim Firefox bspw. in der Adresszeile) das Symbol eures Browsers verwenden um den Feed einzubinden,
  2. oder ihr klickt auf das RSS-Logo unten rechts auf der News-Seite. Das sollte dann euren Newsreader öffnen, wenn er richtig installiert ist.

Wenn ihr nur einen bestimmten Monat abonnieren möchtet, so ergänzt bei dem Link einfach ein "<Monat><Jahr>". Beispiel: http://www.serverzeit.de/News/rss/Juli2007

Ich habe von einem netten Menschen eine Testversion von einer Software erhalten, mit der man Web-Applikationen auf Verwundbarkeiten hin überprüfen kann. Da die meisten Sicherheitslücken von Skripten/Applikationen eingeführt werden, habe ich gleich mal meine Software und den Webserver überprüft. So stellte sich heraus, dass der Apache das sogenannte "HTTP TRACE" unterstützt, was zum "Klauen" von Session-Daten genutzt werden könnte.

Um HTTP TRACE zu deaktivieren musst du folgende Zeilen sowohl in den allgemeinen Bereich der Apache-Konfiguration (in der httpd.conf also) eintragen und ebenso bei jedem <VirtualHost>...</VirtualHost>-Bereich:

RewriteEngine On 
RewriteCond %{REQUEST_METHOD} ^TRACE 
RewriteRule .* - [F]

Danach den Apache natürlich neustarten. Meine Beispiel-httpd.conf habe ich dahingehend schon aktualisiert.

03. Juli Pig Sentry: Realtime Snort-Log-Analyse

von am

Heute bin ich auf der Suche nach einem alternativen Snort-Log-Parser auf dieses kleine Skript gestoßen. Es läuft als Daemon im Hintergrund und analysiert die Logfiles von Snort in Realtime. Jedesmal wenn sich eine Änderung ergibt, verschickt es eine E-Mail an den Admin (das bin ich). Aber damit es nicht alle 2 Minuten eine Mail schickt, schickt es nicht ständig Mails, sondern warnt einmal und beobachtet diese Meldung. Wenn sich irgendwas signifikant ändert, dann meldet es dies erneut. Ist das jetzt klar? Es versucht, kurz gesagt, nicht zu nervös zu sein.

Das entsprechende Tutorial findet ihr hier: Parser: Pig Sentry

Hier der Link: Pig Sentry

02. Juli PHP je Host konfigurieren

von am

Ich habe in den letzten Tagen einige Mails erhalten mit der Frage bzw. auch dem Hinweis darauf, dass nicht nur die von mir genannten PHP-Parameter (flags) in der httpd.conf gesetzt werden können. Das ist richtig und wurde von mir nicht ganz klar dargestellt.
Auf der Seite von PHP finder ihr eine Übersicht über sämtliche Parameter und eine Info, wo ihr diesen Parameter setzen könnt: http://www.php.net/manual/de/ini.php

Es gibt dabei 4 Klassifizierungen:

  1. PHP_INI_USER: Dieser flag kann in den Skripten der User gesetzt werden
  2. PHP_INI_PERDIR: Dieser flag kann in der php.ini, einer .htaccess oder in der httpd.conf gesetzt werden
  3. PHP_INI_SYSTEM: Dieser flag kann in der php.ini oder der httpd.conf gesetzt werden
  4. PHP_INI_ALL: Dieser flag kann überall gesetzt werden

So, und nun viel Spaß damit :-)

22. Juni MaraDNS-Update und PHP-Settings in httpd.conf

von am

Vor ein paar Tagen wurde der MaraDNS-Port aktualisiert. Jetzt legen MaraDNS und der Zoneserver ein pid-File an, sodass die Überwachung per "Monit" (Tutorial ist in Arbeit) möglich wird. Zudem scheint das Problem mit den Abstürzen, wenn MaraDNS per NAT angesteuert wird, behoben zu sein. Ich hatte diesbezüglich ein paar Probleme in der Vergangenheit. Seit Tagen läuft der Server nun ohne Neustart. Das habe ich in der alten Version nicht geschafft, da musste ich MaraDNS regelmäßig per CronJob neustarten... 

15. Juni Ordnung muss sein & dazuko-Tutorial endlich bereinigt

von am

Heute habe ich die Tutorial-Reihenfolge geändert. Warum? Nun, es ergab sich mit der Zeit eine gewisse Unstrukturiertheit. Ich habe das versucht zu beheben und grundlegende Dinge am Anfang angeführt, dann die Web- und Mailserverkonfiguration und so weiter. Da ich aber in den Artikeln Bezug auf andere Tutorials genommen habe, werde ich die nach meinen Prüfungen querlesen und entsprechend ändern. Ich spiele auch mit dem Gedanken die Konfiguration zu konkretisieren und für die Tutorials feste IP-Adressen bspw. verwenden. Noch sind die Anleitungen ja doch noch etwas unzusammenhängend.

14. Juni PHP 5.2.3 und X.Org 7.2

von am

Letzte Nacht habe ich auf die neue PHP-Version upgedatet, da die alte ja einige Sicherheitslücken aufwies. Hat auch soweit alles gut funktioniert, ich hatte nur mit dem Apache ein Problem, was sich letztlich als meine eigene Unachtsamkeit herausstellte.

X.Org 6.9 ist tot, es lebe X.Org 7.2. Ja, dieses Update habe ich auch durchgezogen. Insgesamt ist der Speicherverbrauch dadurch um ca. 50 MB gestiegen. Tja, was soll man machen...

10. Juni Tuning mod_security

von am

Seit ich mod_security wieder aktiviert hatte, sind mir erhebliche Performanceeinbußen aufgefallen. Teilweise war mein Server so langsam, dass ich die Grafiken einzeln laden sehen konnte... Eine kurze Recherche hat mich auf ein paar Performance-Tweaks aufmerksam gemacht, die sehr gut funktionieren:

SecFilterCheckURLEncoding On
SecFilterForceByteRange 0 255
SecAuditEngine RelevantOnly
SecFilterScanPOST On
SecFilterEngine DynamicOnly

Meine Beispiel-httpd.conf habe ich bereits aktualisiert. Mir ist nur aufgefallen, dass ich noch kein mod_security-Tutorial geschrieben habe...

08. Juni Neue Kategorie: RSS-Feeds

von am

Ich habe eine neue Kategorie ins Leben gerufen, die mehr den Service-Gedanken in die Seite integriert. So ist für diesen Bereich geplant, verschiedene RSS-Feeds zu sammeln und übersichtlich auf einer Seite darzustellen. Diese Feeds werden natürlich hauptsächlich mit FreeBSD und Server-Software zu tun haben.

Wenn du der Meinung bist, dass hier noch ein wichtiger Feed fehlt, so schreibe mir doch bitte eine E-Mail.

04. Juni FYI: Mein PGP-Key unter "Kontakt"

von am

Ab heute findet ihr meinen PGP-Key unter "Kontakt" zum Download. Natürlich ist er auch auf den gängigen Key-Servern abgelegt. Die kryptische Zahl ist übrigens die Checksum, anhand derer ihr prüfen könnt, ob der Key auch unverändert bei euch angekommen ist.

03. Juni Ab jetzt im Handel: "Das Archiv"

von am

Ja, ihr habt richtig gesehen, ich habe ein Archiv erstellt. Auf der linken Seite könnt ihr jetzt die Meldung des jeweiligen Monats sehen. Dadurch wird es zwar relativ leer werden auf der News-Seite, aber ich denke es trägt zur Übersichtlichkeit bei. Wenn nicht, gebt bescheid.

In den nächsten Tagen werde ich mich neuen Tutorials etwas zurück halten, da die Abschlussklausuren vor der Tür stehen. Vielleicht schaffe ich es, in einem ruhigen Moment noch ein Tutorial für den Monitoring-Daemon "monit" zu erstellen. Ziel ist es, (fast) alle Dienste auf unserem Server von monit überwachen zu lassen. Warum monit? Weil es genial ist 

Wenn das erledigt ist, werde ich anfangen, die Seiten in einer alternativen Übersichtsseite zusammen zu fassen. So werde ich Überschriften wie "Installation", "Sicherheit", "Mailserver" etc. heißen, sodass bissl mehr Übersicht reinkommt. Dann werde ich an einem FAQ arbeiten und dem ganzen ein rundes Gesicht geben... 

Ich habe heute noch ein kleines Tool installiert: Pflogsumm. Dieses macht einige Auswertungen, die den Mailserver betreffen. Man kann sehen an wen Mails verschickt wurden, wieviele Mails geblockt wurden etc. Einfach einen Cronjob einrichten und gut.

02. Juni IDS: Snort, du Sau!

von am

So, IDS ist auch installiert. Sehr gut. Unser Server wird immer sicherer. Schaut euch mal an was ich da gemacht habe. Hatte ja groß angekündigt mal ein unkonventionelles System zu verwenden, so wie ich das bei dem DNS-Server gemacht habe, aber die waren alle viel größer und bestehen meist aus einem Client und einem Server. Das ist für unseren Server hier aber etwas übertrieben. Wenn man mehrere Server überwachen will/muss, dann lohnt sich ein Blick auf "Samhain", welches einen äußerst guten Eindruck macht!

31. Mai Virenscanner für Mails

von am

Jetzt ist unser Mailserver ziemlich fertig. Wir haben Webmail, Spamfilter (Effizienztests laufen noch) und ab heute auch einen Virenscanner (ClamAV). Was brauchen wir noch? Ich denke nichts. Vielleicht Kontaktmanagement per LDAP? Wir werden sehen.

Ich habe heute auch die Anmerkungen zweier Besucher meiner Seite berücksichtigt. So hat Markus Mann mich auf eine Möglichkeit zur Änderung der Besitzrechte des dazuko-devices hingewiesen, was bei mir allerdings nicht funktioniert: Wenn ich das Modul in der '/boot/loader.conf' aktiviere, erhalte ich eine Kernelpanic und wenn ich lediglich die '/etc/devfs.conf' bearbeite, scheint das keine Auswirkungen zu haben. Vielleicht kann ich noch klären wie das funktionieren soll. Ein unbekannter hat mir weiters die elegantere Möglichkeit zurDeaktivierung der sendmail-Service-Skripte verraten. Vielen Dank dafür!

29. Mai Änderungen stehen an

von am

UPDATE: Jetzt ging es doch schneller als erwartet. Ich habe das spamd-Tutorial online gestellt. Ich habe selber noch wenig Erfahrung damit, also wäre es schön, wenn ihr mir eure Erfahrungen mitteilen würdet, sodass ich eine mehr fundierte Aussage über die Wirksamkeit treffen kann. Viren-Prüfung kommt später, da es eine geringere Bedrohung ist im Moment. 

UPDATE: Ich habe die main.cf.txt, die ich im Tutorial zum Download anbiete, überarbeitet. Ich habe weitere Spamlisten eingefügt und die Reihenfolge der Ausschussregeln geändert. Das ist für die interessant, die spamd bspw nicht einsetzen wollen, sondern Postfix die Arbeit überlassen wollen.
Weiters möchte ich den News-Bereich endlich überarbeiten und um eine Archiv-Funktion erweitern. Es wird langsam einfach zuviel auf einer Seite. Bleibt gespannt.

26. Mai Spamfilter muss doch her & unixboard.de

von am

Ich habe heute folgenden Bericht gelesen: "Mailserver ächzen unter Spamlast" auf heise.de. Ich hatte ne Zeitlang überlegt, auf einen Spamfilter auf dem Mailserver zu verzichten, da mein Client sehr gute Dienste leistet und ich somit komfortabler kontrollieren kann, was als Spam markiert wird und was nicht. Einen Grund-Check haben wir ja schon implementiert, sodass ungültige Domains ja schonmal abgeblockt werden. Aber wenn ich das dann lese, und der Mailverkehr hat wirklich stark zugenommen, werde ich doch einen Spamfilter einrichten.

Und noch eine Neuigkeit: Ich habe auf unixboard.de einen Eintrag gemacht, der mir auch genehmigt wurde. Die entfachte Diskussion hat mir bisher sehr gutes Feedback eingebracht. Das freut mich und bestärkt mich in meinem Ziel noch mehr. Ich hoffe dass sich dadurch auch weiter Diskussionen führen lassen, die die Qualität meiner Beiträge noch weiter verbessern. Hier kommt ihr zu meinem Thread: www.serverzeit.de - FreeBSD-Tutorials