schokokeks.org Wiki - Benutzerbeiträge [de]

Hauptseite

2026-04-22T13:19:51Z

Hanno: AWstats nicht mehr bewerben

__NOTOC____NOEDITSECTION__{{Spacer
|padding=2em
|content=
{{KeksWidget
|title=Neu bei schokokeks.org?
|link=Erste Schritte
|content=Sie sind ein neuer Benutzer von schokokeks.org-Hosting?}}

{{KeksWidget
|title=Noch Fragen?
|link=FAQ
|content=Häufige Fragen und die Antworten dazu.}}

{{KeksWidget
|title=Hier fehlt etwas!
|link=Wiki-Seite anlegen
|content=Eine Anleitung/Erklärung fehlt und Sie wollen diese hinzufügen}}
}}


<div style="clear:both;"> </div>
{{VerticalSplit
|padding=2em
|width=45
|left={{CategoryBox
|title=[[E-Mail]]
|image=Mail
|content=* [[E-Mail|Einfache Konfiguration]]
* [[E-Mail/Speicherplatz|Speicherplatz]]
* [[Webmail]]
* [[E-Mail/Manuelle Konfiguration|Fortgeschrittene / Manuelle Konfiguration]]
** [[E-Mail/Maildrop|Serverseitige E-Mail-Filterung]]
* [[E-Mail/DKIM|DKIM]]
* [[E-Mail/Anwendungsprogramme|Konfiguration von E-Mail-Programmen]]
** [[E-Mail/Anwendungsprogramme/mail.app|mail.app / Apple Mail]]
** [[E-Mail/Anwendungsprogramme/KMail|K-Mail]]
** [[E-Mail/Anwendungsprogramme/Thunderbird|Mozilla-Thunderbird]]
** [[E-Mail/Anwendungsprogramme/mutt|mutt]]
* [[E-Mail/Anti-Spam|Informationen zu unseren globalen Anti-Spam-Maßnahmen]]
}}

{{CategoryBox
|image=Security
|title=Zugriff
|content=* [[Key-Login (OpenSSH)|Key-Login]]
* [[One-Time-Pad|Login mit Einmalpasswörtern]]
* [[SSH, SFTP und FTP]]
** Anleitung für [[FileZilla]]
** Anleitung für [[WinSCP]]
* [[SOCKS-Proxy (OpenSSH)|SOCKS-Proxy mit OpenSSH]]
}}

{{CategoryBox
|title=Jabber
|image=Jabber
|content=* [[Jabber|Allgemeines]]
* [[IRC-Transport]]
}}

|right=
{{CategoryBox
|title=Webserver
|image=Webserver
|content=* [[IPv6]]
* [[Zugriffsrechte (Apache)|Zugriffsrechte]]
* [[Passwortschutz für Webseiten]]
* [[Directory Listing]]
}}

{{CategoryBox
|title=Anwendungen
|image=Tools
|content=* [[PHP]]
** [[PHP/IonCube|IonCube-Loader / Zend Optimizer]]
** [[PHP/PEAR|PEAR-Pakete installieren]]
** [[PHP/WebSockets|WebSockets aus PHP nutzen]]
** [[Schönere URLs für MediaWiki]]
* [[Performance]] und [[Datenbank verkleinern]], um nicht unnötig Ressourcen zu verbrauchen
* [[Webalizer]]
* [[Trac]]
* [[Redmine]]
Versionskontrollsysteme:
* [[Git]]
* [[Subversion]]
** [[Subversion/Hooks|Hooks]]
* [[Mercurial]]
}}

{{CategoryBox
|title=Dateien
|image=Files
|content=* [[Homeverzeichnis]]
}}

{{CategoryBox
|image=Tools
|title=Verschiedenes
|content=* [[Freewvs|freewvs]]
* [[DynDNS]]
* [[wichtige Adressen|phpMyAdmin und Webmail]]
* [[Vim verwenden]]
* [[Unix Zugriffsrechte]]
* [[man-pages|Umgang mit der Hilfe zu Linux-Befehlen]]
* [[IRC]]
* [[ACME-DNS|Plugin für acme.sh um DNS-Records anzulegen]]
}}

}}

AWstats

2026-04-22T13:19:24Z

Hanno:

{{AlertBox
|title=Warnung: Bitte nicht mehr nutzen
|content=Die Software [https://github.com/eldy/AWStats AWstats wird seit November 2025 nicht mehr weiterentwickelt]. In der aktuellen Version gibt es [https://www.cve.org/CVERecord?id=CVE-2025-63261 mehrere] [https://www.cve.org/CVERecord?id=CVE-2025-63261 Sicherheitslücken], die vermutlich nicht mehr geschlossen werden. AWstats sollte daher nicht mehr verwendet werden. Die Anleitung hier ist als historisch zu betrachten.
}}

Das Programm [http://awstats.sourceforge.net/ AWstats] ist eine Alternative zu [[Webalizer]] zur Erstellung von Statistiken für Web-Zugriffe.
Dieser Artikel beschreibt die Installation in Ihrem Account bei schokokeks.org. Bei AWstats handelt es sich nicht nur um ein eigenständiges Programm sondern auch um ein CGI-Script, mit dem Teile der Statistik über das Webinterface erzeugt werden können.

Die neuste Version des Programmpakets finden Sie unter /srv/download oder auf der [http://awstats.sourceforge.net/ Website von AWstats].

Um die Statistik online verfügbar zu machen, benötigen Sie einen Webserver-VHost. In unserem Beispiel soll dies ''awstats.schokokeks.org'' sein. Beim Erzeugen der Webserver-Einstellungen achten Sie bitte darauf, die Protokollierung von Fehlermeldungen zu aktivieren. Dies erleichtert die Fehlersuche falls etwas nicht funktioniert.
Achten Sie bitte darauf, dass bei den Webserver-Einstellungen der Domain, für die die Statistik erzeugt soll irgend eine Form des Zugriffsprotokolls aktiviert ist.

Legen Sie dann das Verzeichnis an, das Sie im Webserver vorgesehen haben. In unserem Fall ist das ''websites/awstats.schokokeks.org/htdocs''. Wechseln Sie in das Domain-Verzeichnis (nicht in ''htdocs'').
mkdir -p websites/awstats.schokokeks.org/htdocs
cd websites/awstats.schokokeks.org

Entpacken Sie die Datei awstats-x.x.tar.gz dort, so dass dadurch ein Verzeichnis ''websites/awstats.schokokeks.org/awstats-X.Y'' erzeugt wird.
tar xzf /srv/download/awstats-*.tar.gz

Verschieben Sie den Inhalt von ''awstats-*/wwwroot'' nach ''htdocs''.
mv awstats-*/wwwroot/* htdocs/
Und das Verzeichnis ''tools'' in das Website-Verzeichnis (außerhalb von ''htdocs'').
mv awstats-*/tools .
Danach können Sie das Verzeichnis ''awstats-*'' löschen.
rm -rf awstats-*

Wechseln nach ''htdocs/cgi-bin''
cd htdocs/cgi-bin

Dort befindet sich eine Datei ''awstats.model.conf''. Diese muss für die zu verwaltende Domain (die, für die die Statistiken erstellt werden sollen) angepasst werden. Dazu wird zuerst eine Kopie der Datei erstellt. Das Schema ist immer ''awstats.'''domain'''.conf'', wobei jede Seite für die eine Statistik gewünscht ist, einen eindeutigen '''domain'''-Teil bekommt.
cp awstats.model.conf awstats.schokokeks.org.conf

Bearbeiten Sie diese Datei entsprechend Ihrer Gegebenheiten. Folgender Vorschlag benutzt die Platzhalter ''USERNAME'', ''DOMAIN'', ''ADRESSE'' für den schokokeks.org-Benutzernamen, die Domain für die Sie eine Statistik erzeugen möchten und die Adresse unter der die Statistik abgerufen werden kann.

LogFile="/home/USERNAME/websites/ADRESSE/tools/logresolvemerge.pl /var/log/apache2/USERNAME/DOMAIN.log* |"
LogType=W
LogFormat=1
LogSeparator=" "
SiteDomain="DOMAIN"
HostAliases="localhost 127.0.0.1 www.DOMAIN"
DNSLookup=2
DirData="/home/USERNAME/websites/ADRESSE/htdocs/DOMAIN"
DirCgi="/cgi-bin"
DirIcons="/icon"
AllowToUpdateStatsFromBrowser=1
Lang="de"

Dies sind nur die minimalistisch angelegte Konfigurationsoptionen. Awstats kann viel feiner konfiguriert werden. Eine Beschreibung der Optionen finden Sie in der Konfigurationsdatei selbst.

Das angegebene Verzeichnis für ''DirData'' '''muss noch erzeugt werden'''.

Durch Verwendung von mehreren Konfigurationsdateien und mehreren Daten-Verzeichnissen kann eine Installation von awstats Statistiken für mehrere Websites gleichzeitig erzeugen.

{{AlertBox|title=Zugriff beschränken|content=Meistens möchte man die Inhalte der Statistiken nicht aller Welt anbieten. Daher sollte man entweder einen [[Passwortschutz für Webseiten|Passwortschutz]] oder eine ''robots.txt'' erzeugen. Letztere verhindert eine Aufnahme in die gängigen Suchmaschinen, beschränkt aber nicht den Zugriff durch Fremde.

Eine robots.txt könnte etwa so aussehen:
User-agent: *
Disallow: /
}}

Direkt im Verzeichnis ''htdocs'' müssen Sie eine Datei ''.htaccess'' erzeugen. Diese kann (siehe Kasten) einen Passwortschutz enthalten, wird aber in jedem Fall benötigt um das Ausführen von CGI-Scripten einzuschalten. Fügen sie bitte daher die Zeile
Options +ExecCGI -Indexes
ein. Dies verbietet zudem noch die Auflistung der Verzeichnisinhalte.

Achten Sie darauf, dass die Perl-Scripte (Endung .pl) in den Verzeichnissen ''cgi-bin'' und ''tools'' ausführbar sind. Sofern Sie das Archiv auf dem Server entpackt haben, sollte dies bereits der Fall sein.

Für einen Test stellen Sie bitte sicher, dass Sie sich direkt im Verzeichnis ''htdocs'' befinden und rufen Sie den Befehl
./cgi-bin/awstats.pl -config=DOMAIN
auf. (Wobei DOMAIN genau den Teil des Namens der Konfigurationsdatei beschreibt, der bei ''awstats.DOMAIN.conf'' benutzt wurde.)

Falls Fehler auftretten werden entsprechende Fehlermeldungen generiert
und angezeigt. Läuft das Skript Fehlerfrei dann soll in dem Verzeichnis
DOMAIN eine Textdatei mit dem Namen:
awstatsMMYYYY.DOMAIN.txt entstehen.

Die Statistiken können nun mittels Zugriff per Browser abgerufen werden. Dazu muss (analog zum Offline-Test oben) die Adresse ''http://ADRESSE/cgi-bin/awstats.pl?config=DOMAIN'' aufgerufen werden.

Damit die Statistik-Adresse kürzer eingegeben werden kann, empfehlen wir folgende Zeilen in der bereits erstellten Datei ''.htaccess'':
RewriteEngine On
RewriteRule ^$ /cgi-bin/awstats.pl?config=DOMAIN [R]

Damit die Statistiken automatisch und zeitgesteuert erstellt werden, sollte noch ein [[Cronjob]] erstellt werden.
Über den Befehl ''crontab -e'' sollten Sie eine passende Zeile eintragen. Ein Beispiel:
16 5 * * * /home/USERNAME/websites/ADRESSE/tools/awstats_updateall.pl now -awstatsprog=/home/USERNAME/websites/ADRESSE/htdocs/cgi-bin/awstats.pl -configdir=/home/USERNAME/websites/ADRESSE/htdocs/cgi-bin/ > /dev/null

Es wird das Verzeichnis ../cgi-bin/ durchsucht und alle gefundene config Dateien wie: awstats.DOMAIN.conf nacheinander als Parameter für AWstats gesetzt.

E-Mail/Procmail

2025-08-14T12:20:10Z

Hanno: procmail hatte zwischenzeitlich wieder ein release und ist in okayem zustand, keine warnung mehr noetig

Mittels des Programms '''procmail''' können E-Mails direkt beim Eintreffen auf dem Server sortiert und gefiltert werden.

{{AlertBox|title=Achtung|content=Diese Anleitung erfordert die Verwendung einer .courier-Datei. Dazu muss entweder die verwendete Domain auf [[E-Mail/Manuelle Konfiguration|manuelle Konfiguration]] eingestellt werden oder Sie leiten die zu filternden E-Mails auf eine [[E-Mail/Manuelle_Konfiguration#Benutzer-Adresse_mit_Erweiterung|Benutzer-E-Mail-Adresse]] um, die grundsätzlich mit .courier-Dateien verwaltet werden.}}

=Vorbereitung=
Zuerst sollten sie sich mit der grundsätzlichen Konfiguration unseres Mail-Servers vertraut machen. Eine Hilfestellung dazu bietet die Seite [[E-Mail/Manuelle Konfiguration/.courier-Dateien|über '''.courier'''-Dateien]].

Um '''procmail''' auszuführen, muss die '''.courier'''-Datei mindestens folgenden Inhalt haben:

|/usr/local/bin/preline -f /usr/bin/procmail

mit zusätzlichem Aufruf eines Spam- und Virenfiltern könnte die Datei auch so aussehen:

|/usr/local/bin/keks-user-qmail-ifvirus put ./Mail/.Virus/
|/usr/local/bin/keks-user-qmail-ifspam put ./Mail/.Spam/
|/usr/local/bin/preline -f /usr/bin/procmail

{{AlertBox
|title=Reihenfolge beachten
|content=Achten Sie darauf, dass die Reihenfolge innerhalb der Datei auch die Reihenfolge der Bearbeitung wiederspiegelt:
Sollte eine Mail als Spam erkannt werden, wird die Mail nicht mehr zu '''procmail''' durchgeleitet sondern z.B. in den Spam-Ordner verschoben
}}

=Konfiguration=
Die eigentliche Konfiguration sucht '''procmail''' in der Datei '''~/.procmailrc'''.

Procmail gehört zu den traditionellen Unix-Werkzeugen und erfordert für die Konfiguration ein waches Auge. Schon ein einzelner Tippfehler kann zu unerwarteten Ergebnissen führen.
Eine verständliche, deutschsprachige Kurzanleitung zu Procmail-Regeln finden Sie z.B. unter http://www.butschek.de/fachartikel/procmail-faq/.

= Beispielkonfiguration =

Wir verwenden an dieser Stelle eine Konfiguration, die in mehrere Dateien aufgeteilt ist. Dies macht es übersichtlicher und erlaubt auch eine große Zahl an Filterregeln zu verwalten.

Dazu benötigen wir zunächst eine Haupt-Datei (''.procmailrc''), die wie folgt aufgebaut ist:
# ----------------------------------- main files and dirs
DEFAULT=${HOME}/Mail/
MAILDIR=${HOME}/Mail/
PMDIR=${HOME}/.procmail
# ----------------------- Logging
LOGFILE=${PMDIR}/procmail.log
VERBOSE=yes
LOGABSTRACT=all
# ----------------------------------- filters
INCLUDERC=${PMDIR}/lists.rc
INCLUDERC=${PMDIR}/catch-all.rc

Hier wird "Mail/" als primäre Mailbox voreingestellt. Alle späteren Filterregeln können die Ziel-Mailbox relativ dazu angeben. Anschließend wird ".procmail/" als Verzeichnis mit weiteren Regeldateien eingestellt. Mittels INCLUDERC= werden diese in der Haupt-Konfigurationsdatei eingebunden. Speicherort und Dateiname können aber beliebig gewählt werden. Selbiges gilt für die Log-Datei.

Die Log-Datei kann weggelassen und die Filterregeln können in die '''.procmailrc''' geschrieben werden, beides ist jedoch nicht empfehlenswert.

== Eigentliche Filterregeln ==

Um die eigentlichen Filterregeln festzulegen, erstellen wir die genannten Dateien (z.B. ''lists.rc'') im procmail-Ordner. (hier: /home/<user>/.procmail/)
Sie soll die Filterregeln aller Mailinglisten beinhalten.

# ---------------------------------------------- CCC Debatten Mailingliste
:0
* ^(To:|Cc:).*(debate@lists.ccc.de|debate@ccc.de)
.MLs.CCC-Debatten/

# ----------------------------------------------- LUG tuebingen
:0
* ^(To:|Cc:).*lug-tuebingen@jura.uni-tuebingen.de
.MLs.LnxGroupTue/

# ---------------------------------------------- tiles@home
:0
* ^Subject:.*[\tilesathome\]
.MLs.tiles@home/

Nach den selben Schemata lassen sich die Filter.rc-Dateien beliebig erweitern und neue *.rc-Dateien hinzufügen, '''INCLUDERC nicht vergessen!'''

Unter http://www.64-bit.de/dokumentationen/netzwerk/f/002/DE-Mailserver-HOWTO-5.html finden sie weitere Filtermöglichkeiten und eine umfangreiche Beschreibung der Syntax

E-Mail/DKIM

2023-12-09T19:59:14Z

Hanno: /* Externe Mail-Server */

Mit der DKIM-Technik wird die Zustellung und Herkunft Ihrer E-Mails digital signiert. Wir werden in Kürze DKIM und DMARC automatisch für Kunden aktivieren, die unseren DNS- und Mailserver nutzen.

Im Konfigurationsinterface unter "Domains - Mail-Verwaltung" können Sie für Ihre Domains DKIM und DMARC aktivieren/deaktivieren.

= DKIM =

Für bei uns gehostete Domains und Mailadressen funktioniert DKIM automatisch, solange die Mails über unsere Mailserver gesendet werden.

== Mails von PHP-Applikationen und anderen serverseitigen Anwendungen ==

Mails werden nur signiert, wenn sie authentifiziert - also mittels eines Logins mit Benutzername und Passwort - über unseren Mailserver versendet werden. Das bedeutet, dass Mails, die etwa über die Kommandozeile mittels ''sendmail'' oder über die PHP-Standardfunktion ''mail()'' versendet werden, nicht signiert werden.

Bei den meisten Anwendungen ist es möglich, einen Mailversand über das SMPT/Submission-Protokoll zu konfigurieren und dort entsprechende Zugangsdaten anzugeben.

== Externe DNS-Server ==

Wenn Sie einen externen DNS-Server nutzen und gleichzeitig DKIM aktivieren möchten, sind einige Dinge zu beachten, daher aktivieren wir hier DKIM nicht automatisch. Sie müssen dann einen passenden DNS-Record anlegen, in dem die öffentlichen Schlüssel abgelegt sind. Wir nutzen zurzeit den Selektor key1, der entsprechende DNS-Eintrag, der unter der Subdomain 'key1._domainkey' angelegt werden muss, lautet:

<pre>v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAplysJ1bZ2xrWbnLwLr0yRijIeLSKIkmHKIRFYoDc4omsQOGU7yv6xxpRfjiUDoTTO2E4InayR68pWGSU0lPv8Q7fBVE/UcH5JfP7IJGsEsPTCUMxZY2M9e7Kg7J1LrPNpiV8P6xcGyDHA1RyGMUwFS86rjzXK//9o+8szgzSTY7X7cio/J+a/5bKaVF0vva9YNS+WHI6LxnYzHZQbFGZNIZnAlKPd+LHnbwfYKU20QgZKeHguGOi4VMb77wUFlXrRjEafmKQlfsAyyKrkzs42nYk/UuxRZcqadJAEo87umgeQPjbyc64LazMTcQOSBqTBX59CaF0DBP3RggmN0CpdwIDAQAB</pre>

Bitte beachten Sie, dass Sie selbst verantwortlich sind, den DNS-Eintrag anzupassen, falls wir den Key wechseln. Wir werden in dem Fall betroffene Kunden informieren.

== Externe Mail-Server ==

Sollten Sie Mails über externe Mailserver verschicken, aber gleichzeitig unseren DNS-Server nutzen, müssen Sie eventuell den DKIM-Schlüssel des externen Servers bei uns eintragen.

= DMARC =

Mittels DMARC kann man festlegen, wie andere Mailserver mit DKIM, SPF und fehlenden Signaturen umgehen sollen.

Leider gibt es mit DMARC verschiedene Probleme im Zusammenhang mit Mailinglisten und Weiterleitungen, für die es keine zufriedenstellende Lösung gibt. Wir aktivieren daher standardmäßig DMARC nur mit einer Policy im "soft"-Modus ("p=none"). Damit sollten andere Mailserver auch fehlerhaft oder nicht signierte Mails nicht ablehnen.

Sie haben die Möglichkeit, selbst einen DMARC-Record (TXT-Record mit prefix ''_dmarc'') in den DNS-Einstellungen zu erstellen. Dieser überschreibt automatisch den von uns erstellten Record, damit haben Sie auf Wunsch die Möglichkeit, die Policy oder andere DMARC-Optionen selbst zu setzen. Natürlich gilt auch hier: Sie sind dann selbst verantwortlich.

E-Mail/Keine-Mailnutzung

2023-12-09T07:09:42Z

Hanno: Die Seite wurde neu angelegt: „Für Situationen, in denen Nutzer eine Domain nicht für den Versand oder Empfang von E-Mails nutzen möchten, haben wir eine spezielle Option. Diese kann im Konfigurationsinterface unter "Domains" - "Mail-Verwaltung" mit der Option "Mail-Nutzung verhindern" aktiviert werden. (Nur bei ausgeschalteter Mail-Verwaltung sichtbar.) Diese Option bewirkt, dass verschiedene DNS-Records gesetzt werden. = Null MX = Für eingehende Mails wird der ''Null MX'-Recor…“

Für Situationen, in denen Nutzer eine Domain nicht für den Versand oder Empfang von E-Mails nutzen möchten, haben wir eine spezielle Option. Diese kann im Konfigurationsinterface unter "Domains" - "Mail-Verwaltung" mit der Option "Mail-Nutzung verhindern" aktiviert werden. (Nur bei ausgeschalteter Mail-Verwaltung sichtbar.)

Diese Option bewirkt, dass verschiedene DNS-Records gesetzt werden.

= Null MX =

Für eingehende Mails wird der ''Null MX'-Record gesetzt, der in [https://www.rfc-editor.org/rfc/rfc7505.html RFC 7505] spezifiziert ist. Dieser besteht lediglich aus einem Punkt (".") und signalisiert anderen Mailservern, dass auf dieser Domain keine Mails empfangen werden. Damit wird dem sendenden Mailserver frühzeitig signalisiert, dass die Mail nicht zugestellt werden soll.

= Strikte DMARC-Settings =

Da die Domain nicht für den Versand Mails genutzt werden soll, ist davon auszugehen, dass sämtliche Mails, die mit entsprechenden Absendern verschickt werden, illegitim und Spam sind. Daher setzen wir strikte DMARC-Records, die es Empfängern ermöglichen, die Mail als Spam zu erkennen. Wir setzen eine ''reject''-Policy inklusive Subdomains, sowie einen strikten DKIM- und SPF-Modus.

= SPF-Versand verhindern =

Mittels SPF definieren wir, dass keine IPs berechtigt sind, Mails für diese Domain zu versenden (''v=spf1 -all''). Damit ermöglichen wir ebenfalls, dass andere Mailserver illegitim unter dieser Domain versendete Mails erkennen können.

E-Mail/DKIM

2023-07-29T12:44:00Z

Hanno:

Mit der DKIM-Technik wird die Zustellung und Herkunft Ihrer E-Mails digital signiert. Wir werden in Kürze DKIM und DMARC automatisch für Kunden aktivieren, die unseren DNS- und Mailserver nutzen.

Im Konfigurationsinterface unter "Domains - Mail-Verwaltung" können Sie für Ihre Domains DKIM und DMARC aktivieren/deaktivieren.

= DKIM =

Für bei uns gehostete Domains und Mailadressen funktioniert DKIM automatisch, solange die Mails über unsere Mailserver gesendet werden.

== Mails von PHP-Applikationen und anderen serverseitigen Anwendungen ==

Mails werden nur signiert, wenn sie authentifiziert - also mittels eines Logins mit Benutzername und Passwort - über unseren Mailserver versendet werden. Das bedeutet, dass Mails, die etwa über die Kommandozeile mittels ''sendmail'' oder über die PHP-Standardfunktion ''mail()'' versendet werden, nicht signiert werden.

Bei den meisten Anwendungen ist es möglich, einen Mailversand über das SMPT/Submission-Protokoll zu konfigurieren und dort entsprechende Zugangsdaten anzugeben.

== Externe DNS-Server ==

Wenn Sie einen externen DNS-Server nutzen und gleichzeitig DKIM aktivieren möchten, sind einige Dinge zu beachten, daher aktivieren wir hier DKIM nicht automatisch. Sie müssen dann einen passenden DNS-Record anlegen, in dem die öffentlichen Schlüssel abgelegt sind. Wir nutzen zurzeit den Selektor key1, der entsprechende DNS-Eintrag, der unter der Subdomain 'key1._domainkey' angelegt werden muss, lautet:

<pre>v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAplysJ1bZ2xrWbnLwLr0yRijIeLSKIkmHKIRFYoDc4omsQOGU7yv6xxpRfjiUDoTTO2E4InayR68pWGSU0lPv8Q7fBVE/UcH5JfP7IJGsEsPTCUMxZY2M9e7Kg7J1LrPNpiV8P6xcGyDHA1RyGMUwFS86rjzXK//9o+8szgzSTY7X7cio/J+a/5bKaVF0vva9YNS+WHI6LxnYzHZQbFGZNIZnAlKPd+LHnbwfYKU20QgZKeHguGOi4VMb77wUFlXrRjEafmKQlfsAyyKrkzs42nYk/UuxRZcqadJAEo87umgeQPjbyc64LazMTcQOSBqTBX59CaF0DBP3RggmN0CpdwIDAQAB</pre>

Bitte beachten Sie, dass Sie selbst verantwortlich sind, den DNS-Eintrag anzupassen, falls wir den Key wechseln. Wir werden in dem Fall betroffene Kunden informieren.

== Externe Mail-Server ==

Sollten Sie Mails über externe Mailserver verschicken, aber gleichzeitig unseren DNS-Server nutzen, müssen Sie eventuell den DMARC-Schlüssel des externen Servers bei uns eintragen.

= DMARC =

Mittels DMARC kann man festlegen, wie andere Mailserver mit DKIM, SPF und fehlenden Signaturen umgehen sollen.

Leider gibt es mit DMARC verschiedene Probleme im Zusammenhang mit Mailinglisten und Weiterleitungen, für die es keine zufriedenstellende Lösung gibt. Wir aktivieren daher standardmäßig DMARC nur mit einer Policy im "soft"-Modus ("p=none"). Damit sollten andere Mailserver auch fehlerhaft oder nicht signierte Mails nicht ablehnen.

Sie haben die Möglichkeit, selbst einen DMARC-Record (TXT-Record mit prefix ''_dmarc'') in den DNS-Einstellungen zu erstellen. Dieser überschreibt automatisch den von uns erstellten Record, damit haben Sie auf Wunsch die Möglichkeit, die Policy oder andere DMARC-Optionen selbst zu setzen. Natürlich gilt auch hier: Sie sind dann selbst verantwortlich.

E-Mail/DKIM

2023-07-29T12:43:16Z

Hanno: style

Mit der DKIM-Technik wird die Zustellung und Herkunft Ihrer E-Mails digital signiert. Wir werden in Kürze DKIM und DMARC automatisch für Kunden aktivieren, die unseren DNS- und Mailserver nutzen.

Im Konfigurationsinterface unter "Domains - Mail-Verwaltung" können Sie für Ihre Domains DKIM und DMARC aktivieren/deaktivieren.

= DKIM =

Für bei uns gehostete Domains und Mailadressen funktioniert DKIM automatisch, solange die Mails über unsere Mailserver gesendet werden.

== Mails von PHP-Applikationen und anderen serverseitigen Anwendungen ==

Mails werden nur signiert, wenn sie authentifiziert - also mittels eines Logins mit Benutzername und Passwort - über unseren Mailserver versendet werden. Das bedeutet, dass Mails, die etwa über die Kommandozeile mittels ''sendmail'' oder über die PHP-Standardfunktion ''mail()'' versendet werden, nicht signiert werden.

Bei den meisten Anwendungen ist es möglich, einen Mailversand über das SMPT/Submission-Protokoll zu konfigurieren und dort entsprechende Zugangsdaten anzugeben.

== Externe DNS-Server ==

Wenn Sie einen externen DNS-Server nutzen und gleichzeitig DKIM aktivieren möchten, sind einige Dinge zu beachten, daher aktivieren wir hier DKIM nicht automatisch. Sie müssen dann einen passenden DNS-Record anlegen, in dem die öffentlichen Schlüssel abgelegt sind. Wir nutzen zurzeit den Selektor key1, der entsprechende DNS-Eintrag lautet:

<pre>v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAplysJ1bZ2xrWbnLwLr0yRijIeLSKIkmHKIRFYoDc4omsQOGU7yv6xxpRfjiUDoTTO2E4InayR68pWGSU0lPv8Q7fBVE/UcH5JfP7IJGsEsPTCUMxZY2M9e7Kg7J1LrPNpiV8P6xcGyDHA1RyGMUwFS86rjzXK//9o+8szgzSTY7X7cio/J+a/5bKaVF0vva9YNS+WHI6LxnYzHZQbFGZNIZnAlKPd+LHnbwfYKU20QgZKeHguGOi4VMb77wUFlXrRjEafmKQlfsAyyKrkzs42nYk/UuxRZcqadJAEo87umgeQPjbyc64LazMTcQOSBqTBX59CaF0DBP3RggmN0CpdwIDAQAB</pre>

Bitte beachten Sie, dass Sie selbst verantwortlich sind, den DNS-Eintrag anzupassen, falls wir den Key wechseln. Wir werden in dem Fall betroffene Kunden informieren.

== Externe Mail-Server ==

Sollten Sie Mails über externe Mailserver verschicken, aber gleichzeitig unseren DNS-Server nutzen, müssen Sie eventuell den DMARC-Schlüssel des externen Servers bei uns eintragen.

= DMARC =

Mittels DMARC kann man festlegen, wie andere Mailserver mit DKIM, SPF und fehlenden Signaturen umgehen sollen.

Leider gibt es mit DMARC verschiedene Probleme im Zusammenhang mit Mailinglisten und Weiterleitungen, für die es keine zufriedenstellende Lösung gibt. Wir aktivieren daher standardmäßig DMARC nur mit einer Policy im "soft"-Modus ("p=none"). Damit sollten andere Mailserver auch fehlerhaft oder nicht signierte Mails nicht ablehnen.

Sie haben die Möglichkeit, selbst einen DMARC-Record (TXT-Record mit prefix ''_dmarc'') in den DNS-Einstellungen zu erstellen. Dieser überschreibt automatisch den von uns erstellten Record, damit haben Sie auf Wunsch die Möglichkeit, die Policy oder andere DMARC-Optionen selbst zu setzen. Natürlich gilt auch hier: Sie sind dann selbst verantwortlich.

E-Mail/DKIM

2023-07-29T12:35:36Z

Hanno:

Mit der DKIM-Technik wird die Zustellung und Herkunft Ihrer E-Mails digital signiert. Wir werden in Kürze DKIM und DMARC automatisch für Kunden aktivieren, die unseren DNS- und Mailserver nutzen.

Im Konfigurationsinterface unter "Domains - Mail-Verwaltung" können Sie für Ihre Domains DKIM und DMARC aktivieren/deaktivieren.

= DKIM =

Für bei uns gehostete Domains und Mailadressen funktioniert DKIM automatisch, solange die Mails über unsere Mailserver gesendet werden.

== Mails von PHP-Applikationen und anderen serverseitigen Anwendungen ==

Mails werden nur signiert, wenn sie authentifiziert - also mittels eines Logins mit Benutzername und Passwort - über unseren Mailserver versendet werden. Das bedeutet, dass Mails, die etwa über die Kommandozeile mittels sendmail oder über die PHP-Standardfunktion mail() versendet werden, nicht signiert werden.

Bei den meisten Anwendungen ist es möglich, einen Mailversand über das SMPT/Submission-Protokoll zu konfigurieren und dort entsprechende Zugangsdaten anzugeben.

== Externe DNS-Server ==

Wenn Sie einen externen DNS-Server nutzen und gleichzeitig DKIM aktivieren möchten, sind einige Dinge zu beachten, daher aktivieren wir hier DKIM nicht automatisch. Sie müssen dann einen passenden DNS-Record anlegen, in dem die öffentlichen Schlüssel abgelegt sind. Wir nutzen zur Zeit den Selektor key1, der entsprechende DNS-Eintrag lautet:

<pre>v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAplysJ1bZ2xrWbnLwLr0yRijIeLSKIkmHKIRFYoDc4omsQOGU7yv6xxpRfjiUDoTTO2E4InayR68pWGSU0lPv8Q7fBVE/UcH5JfP7IJGsEsPTCUMxZY2M9e7Kg7J1LrPNpiV8P6xcGyDHA1RyGMUwFS86rjzXK//9o+8szgzSTY7X7cio/J+a/5bKaVF0vva9YNS+WHI6LxnYzHZQbFGZNIZnAlKPd+LHnbwfYKU20QgZKeHguGOi4VMb77wUFlXrRjEafmKQlfsAyyKrkzs42nYk/UuxRZcqadJAEo87umgeQPjbyc64LazMTcQOSBqTBX59CaF0DBP3RggmN0CpdwIDAQAB</pre>

Bitte beachten Sie, dass Sie selbst verantwortlich sind, den DNS-Eintrag anzupassen, falls wir den Key wechseln. Wir werden in dem Fall betroffene Kunden informieren.

== Externe Mail-Server ==

Sollten Sie Mails über externe Mailserver verschicken, aber gleichzeitig unseren DNS-Server nutzen, müssen Sie eventuell den DMARC-Schlüssel des externen Servers bei uns eintragen.

= DMARC =

Mittels DMARC kann man festlegen, wie andere Mailserver mit DKIM und SPF, und auch mit fehlenden Signaturen umgehen sollen.

Leider gibt es mit DMARC verschiedene Probleme im Zusammenhang mit Mailinglisten und Weiterleitungen, für die es keine zufriedenstellende Lösung gibt. Wir aktivieren daher standardmäßig DMARC nur mit einer Policy im "soft"-Modus ("p=none"). Damit sollten andere Mailserver auch fehlerhaft oder nicht signierte Mails nicht ablehnen.

Sie haben die Möglichkeit, selbst einen DMARC-Record in den DNS-Einstellungen zu erstellen. Dieser überschreibt automatisch den von uns erstellten Record, damit haben Sie auf Wunsch die Möglichkeit, die Policy oder andere DMARC-Optionen selbst zu setzen. Natürlich gilt auch hier: Sie sind dann auch selbst dafür verantwortlich.

E-Mail/Anwendungsprogramme/KMail

2023-04-09T09:07:19Z

Hanno: /* SSL */ obsolete Erwähnung von CAcert raus

[[Kategorie:E-Mail/Anwendungsprogramme|K]]
[[Bild:Kmail_start.png|right|thumb|200px|KMail-Startbildschirm]]
Das Programm KMail ist das e-Mail-Programm des KDE-Desktops, der bei jeder Linux-Distribution mitgeliefert wird und bei sehr vielen als Standardoberfläche eingestellt ist.

In Sachen Benutzerkomfort steht KMail sehr gut da, doch auch für Profis bietet es einige interessante Funktionen. Dieser Artikel soll die Basis-Konfiguration beschreiben, wie man KMail mit einem schokokeks.org-Postfach nutzen kann.

<br clear="all" />

{{AlertBox
| title=Hinweis
| content=In den Abbildungen dieser Anleitung werden veraltete und mittlerweile falsche Server-Namen verwendet. Den für Sie passenden Server-Namen finden Sie im [https://config.schokokeks.org/go/email/vmail Kunden-Webinterface].
}}

==TLS/SSL==

Wie schon an anderer Stelle beschrieben, verwenden wir für sämtliche Zugänge, die die Übertragung eines Passwortes erfordern, verschlüsselte Verbindungen. Dazu zählt natürlich auch das Versenden und Empfangen von eMails, für das Sie Ihre Postfach-Zugangsdaten benötigen.

Um eine gewisse Sicherheit gewährleisten zu können, sind unsere Zertifikate von einer CA (''Certification Authority'') signiert.

==Identität==

Als erstes müssen Sie die allgemeinen Einstellungen von KMail aufrufen. Dazu klicken Sie bitte auf '''Einstellungen''' -> '''KMail einrichten...'''

Im nun geöffneten Fenster müssen Sie zuerst eine ''Identität'' einrichten. Eine ''Identität'' besteht aus Angaben zum Name, evtl. Firmenname, der E-Mail-Adresse und eventuell einer Signatur.

Mit Hilfe dieser Funktion lassen sich zum Beispiel privater und geschäftlicher E-Mail-Verkehr recht gut trennen.

KMail legt beim ersten Start automatisch eine Identität an, bestehend aus den Daten, die Sie (eventuell) an anderer Stelle im KDE-Kontrollzentrum eingetragen haben. Anstatt eine neue Identität anzulegen, kann man also diese bestehende ändern.

[[Bild:Kmail_accountsetup2.png|ändern der Standard-Identität]]

Im '''Identität bearbeiten'''-Dialog müssen Sie nun ihren Namen und ihre E-Mail-Adresse eintragen. Auf der Seite '''Erweitert''' können Sie noch weitere Einstellungen vornehmen, diese sollten aber für die meisten Szenarien nicht notwendig sein. Letztlich kann unter '''Signatur''' noch eine Signatur angegeben werden, die beim schreiben oder beantworten einer E-Mail automatisch unter den Text gesetzt wird. Hierbei kann entweder eine Signatur direkt eingegeben werden, die Ausgabe eines Programms als Signatur benutzt werden (z.B. ''fortune'') oder die Signatur direkt in das Eingabefeld eingegeben werden.

[[Bild:Kmail_accountsetup3.png|Eintragen des Namens und der E-Mail-Adresse]][[Bild:Kmail_accountsetup4.png|Einstellen der Signatur]]

Danach ist das Einrichten der Identität fertig. Es können nun Konten für den Versand und Empfang eingerichtet werden.

==Versenden von E-Mails (SMTP)==

Zum Versenden von E-Mails benötigen Sie ein SMTP-Konto. Dieser ist bei Konten auf unserem Server bereits automatisch mit den selben Daten, die auch für den Abruf gelten, nutzbar.

Dazu klicken Sie wiederrum in den allgemeinen KMail-Einstellungen links auf die Rubrik '''Netzwerk'''.

Nun sollte das Fenster etwa so aussehen.

[[Bild:Kmail_accountsetup5.png|Netzwerk]]

Auch hier hat KMail (abhängig von der verwendeten Version und Distribution) schon von sich aus ein Standard-Konto angelegt, allerdings nutzt dieses Konto ''sendmail'' zum Nachrichtenversand. Dies ist nicht das was hier benötigt wird. Dieses Konto kann gelöscht werden.

Mit '''Neu...''' wird ein neues Konto angelegt. Im erscheinenden Fenster, muss nun die Versandart '''SMTP''' gewählt werden.

[[Bild:Kmail_accountsetup6.png|Wählen der Versandart]]

Daraufhin öffnet KMail ein Fenster, in dem die Grund-Daten der Kontos abgefragt werden. Die meisten Felder sollten selbsterklärend sein, wenn Sie die Daten für den Zugang zur Hand haben. Den Namen, der im ersten Eingabefeld verlangt wird, können Sie frei wählen, er dient nur zur Identifizierung innerhalb von KMail.

Das Passwort muss nicht unbedingt an dieser Stelle eingegeben werden. Wenn es hier nicht eingestellt wird (oder die Option zum Speichern nicht aktiviert ist), wird KMail bei jeder Verwendung danach fragen.

[[Bild:Kmail_accountsetup7.png|Konto-Einstellungen]]

'''Hinweis:''' Die '''Port'''-Angabe muss hier nicht angepasst werden, diese wird im nächsten Schritt automatisch gesetzt.

Der folgende Schritt it sehr wichtig. Rufen Sie vor dem Klicken auf '''OK''' zuerst die Unterseite '''Sicherheit''' auf.

[[Bild:Kmail_accountsetup8.png|Sicherheit]]

Mit dem Knopf '''Fähigkeiten des Servers testen''' (rot markiert) können Sie veranlassen, dass KMail selbst die geeigneten Einstellungen sucht.

'''Wichtig:''' Diese Einstellungen sind nicht korrekt. Aus technischen Gründen kännen wir den Server nicht so einstellen, dass KMail dies richtig erkennt. Sie müssen manuell die Verschlüsselung auf '''SSL''' einstellen, auch wenn KMail hier '''TLS''' vorschlägt.

===Testen===

Nach dem zweimaligen Bestätigen mit '''OK''' ist das Konto nun fertig eingerichtet. Um den Versand zu testen, klicken Sie im KMail Hauptfenster auf '''Neue Nachricht'''. Dafür ist das erste Symbol ganz links in der Symbolleiste zuständig. Oder Sie klicken im Menü '''Nachricht''' auf '''Neue Nachricht...'''.

Daraufhin erscheint das '''Verfassen'''-Fenster, in dem die Nachricht geschrieben wird. Die Informationen zur Nachricht, die oberhalb des Textfeldes angezeigt werden können frei ausgewählt werden. Die benötigten Einstellungen sind im Menü '''Ansicht''' zu finden.

[[Bild:Kmail_send.png|Verfassen-Fenster]][[Bild:Kmail_send_advanced.png|Verfassen-Fenster (erweiterte Ansicht)]]

Ich empfehle, einfach einmal zum Test eine Nachricht an sich selbst zu verfassen. Nach dem Klick auf '''Senden''' (das ist das Symbol ganz links in der Symbolleiste) verschickt KMail die Nachricht. In der Statusleiste am unteren Bildschirmrand sollte zuerst ein Prozentbalken zu sehen sein und dann der Hinweis, dass die Nachricht erfolgreich versandt wurde.

==Abrufen (POP3)==

Natürlich möchten Sie diese Nachricht auch wieder vom Server abrufen können. Dafür bieten wir Zugriff mit dem POP3-Protokoll.

Um ein solches Konto einzurichten, gehen Sie bitte wiederrum in die allgemeinen KMail-Einstellungen (wie zu Beginn bei der Einrichtung der Identität). Dort wieder (wie bim Einrichten des Versand-Kontos) auf die Kategorie '''Netzwerk'''. Im Gegensatz zu vorher wählen Sie nun dir Unterseite '''Empfang'''.

[[Bild:Kmail_popaccount1.png|Empfang-Account einrichten]]

Klicken Sie dort nun auf '''Hinzufügen...''', worauf sich ein neues Fenster öffnet und nach der Art des Kontos fragt. Hier wählen Sie POP3 aus. Es ist auch ein IMAP-Konto möglich, dazu lesen Sie bitte mehr im entsprechenden Abschnitt, hier wollen wir nur ein POP3-Konto einrichten.

[[Bild:Kmail_popaccount2.png|POP3 auswählen]]

[[Bild:Kmail_popaccount3.png|right|thumb|400px|Einstellungen zum POP3-Account]]
Nach dem Bestätiguen dieses Fensters erscheint ein weiteres, das viele Gemeinsamkeiten mit dem bekannten Fenster für die SMTP-Einstellungen hat.

Auch hier gibt es einen frei wählbaren Namen, der nur für die interne Identifikation benutzt wird sowie die Einstellungen für Server und Benutzername.

Ebenfalls gleich wie beim SMTP-Einrichtungs-Dialog ist die Handhabung des Passwortes. Wenn Sie es nicht angeben oder die Option '''POP-Passwort in Konfigurationsdatei speichern''' nicht aktivieren, wird KMail bei jeder Verwendung (also bei jedem Abrufen der Nachrichten) danach fragen.

Andererseits gibt es hier auch neue Optionen wie z.B. ob neue Nachrichten beim Abrufen vom Server gelöscht werden sollen. Wird diese Einstellung nicht aktiviert, bleiben Nachrichten so lange auf dem Server liegen, bis sie von dort gelöscht werden. Dies kann entwerde durch das eMail-Programm (wenn Sie diese Option später einschalten) oder durch einen Zugriff per IMAP oder Webmail geschehen.

Wenn Sie wollen, können Sie hier auch angeben, dass KMail das Konto regelmäßssig überprüft, z.B. alle 2 Minuten. Dies ist natürlich nur sinnvoll, wenn die Internetverbindung dauerhaft besteht.

'''Wichtig:''' Auch hier ist es wichtig, dass Sie die Unterseite '''Extras''' aufrufen, bevor Sie das Fenster schliessen.

[[Bild:Kmail_popaccount4.png|Einstellungen zur Verschlüsselung]]

Denn auch hier muss zwingend die Verschlüsselung auf '''SSL''' eingestellt werden. Anders als beim SMTP kann hier jedoch die Funktion '''Fähigkeiten des Servers prüfen''' uneingeschränkt benutzt werden.

Ob mit dieser Funktion oder manuell, danach sollten die auf dem Bild gezeigten Optionen eingestellt sein, nämlich '''SSL''' und '''Einfacher Text'''.

Danach können Sie dieses Fenster sowie das '''Einstellungen'''-Fenster bestätigen. Der POP3-Account ist damit fertig eingerichtet.

===Testen===

[[Bild:Kmail_popaccount5.png|right|thumb|400px|Empfangen]]
Auch hier soll der Zugang sofort getestet werden. Wenn Sie nach dieser Anleitung vorgegangen sind, müsste sich die vorher gesendete Test-Nachricht noch im Postfach befinden. Diese möchten wir nun abrufen.

Im Hauptfenster von KMail klicken Sie auf den Knopf zum Empfangen neuer Mails.
Alternativ kann diese Funktion auf über das Menü mit '''Datei''' -> '''Nach E-Mail sehen''' aufgerufen werden.

==Verwaltung der Mails auf dem Server (IMAP)==

Es gibt neben der Möglichkeit, E-Mails mit dem POP3-Verfahren abzurufen, auch noch die Möglichkeit, die Nachrichten mit dem IMAP-Verfahren auf dem Server zu belassen. Das bedeutet, das E-Mail-Programm greift ständig auf die auf dem Server liegenden E-Mails zu. Jeder Vorgang, der ausgeführt wird (Verschieben, löschen, ...) wird direkt auf dem Server ausgeführt. Somit ist IMAP besonders gut geeignet, wenn man mehrere Mail-Programme testen oder benutzen möchte. Auch für das gleichzeitige Nutzen von Webmail ist IMAP optimal, da man immer alle Nachrichten zur Verfügung hat.

{{AlertBox
| title=Warnung
| content=Da hier für jede Aktion eine Verbindung zum Server bestehen muss, eignet sich das IMAP-Verfahren nur für Nutzer einer Standleitung oder Flatrate. Mit einem herkömmlichen Einwahlzugang ist es in der Regel sinnvoller, die Mails gesammelt per POP3 abzurufen.
}}

Selbstverständlich bietet auch KMail die Möglichkeit, IMAP zu nutzen. Leider ist die Cache-Funktion (Zwischenspeicherung bereits angeschauter Nachrichten) nicht sonderlich ausgereift, weshalb wirklich immer eine Verbindung bestehen muss, wenn man eine E-Mail lesen möchte.

Das Einrichten des Kontos läuft im Grunde genauso ab wie das Einrichten eines POP3-Kontos. Lediglich beim Anlegen sollte man anstatt ''POP3'' dann eben '''IMAP''' auswählen.
Auch hier muss auf der Seite '''Erweitert''' auf SSL umgeschaltet werden. Analog zum POP3-Abruf sollte die Funktion '''Fähigkeiten des Servers testen''' hier die richtigen Einstellungen finden.

IRC

2023-02-10T17:55:06Z

Hanno: Der Seiteninhalt wurde durch einen anderen Text ersetzt: „Sie können auf unserem Server IRC mit der Software irssi nutzen.“

Sie können auf unserem Server IRC mit der Software irssi nutzen.

Freewvs

2022-08-20T08:17:08Z

Hanno:

Webanwendungen, insbesondere PHP-Applikationen, sind besonders häufig von Sicherheitsproblemen betroffen. Deshalb ist es besonders wichtig, solche Anwendungen zeitnah zu aktualisieren.

Um Ihnen für diesen Zweck ein Werkzeug in die Hand zu geben und zudem um uns eine Möglichkeit zu geben, unseren Server auf Schwachstellen zu prüfen, haben wir ein eigenes Programm entwickelt: freewvs (»free web vulnerability scanner«). Dieses Programm erkennt, welche Anwendung in welcher Version installiert ist und schlägt ggf. vor, welche Version mindestens installiert sein sollte um keine aktuell bekannten Sicherheitslücken zu haben.

= Download =

freewvs ist freie Software unter der 0BSD-Lizenz: https://freewvs.schokokeks.org/

Weitere Infos gibt es auch in der [https://git.schokokeks.org/freewvs.git/ README.md im Git-Repository].

= Anwendung auf schokokeks.org =

Für unsere Benutzer ist systemweit dieses Programms installiert, das mittels

freewvs [pfad zum docroot]

benutzt werden kann.

=Automatische Überprüfungen=

Zusätzlich besteht auch die Möglichkeit, sich automatisch über Probleme benachrichtigen zu lassen. Als Benutzer von schokokeks.org können Sie im Webinterface unter dem Punkt [https://config.schokokeks.org/go/webapps/freewvs freewvs] das Intervall der automatischen Überprüfung einstellen.

Damit werden alle Ihre Domains und Subdomains automatisch geprüft und Sie erhalten die Ergebnisse ggf. per E-Mail.

E-Mail/Getmail

2021-01-05T17:27:30Z

Hanno: getmail6 statt altem python2-getmail verlinken

[[Kategorie:E-Mail]]

{{E-Mail-Warnung}}

Die Software [https://getmail6.org/ Getmail] ermöglicht, dass E-Mails automatisch von einem entfernten Server abgeholt werden. Das klassische Unix-Werkzeug für diese Aufgabe ist ''fetchmail'', das jedoch mittlerweile in die Jahre gekommen ist. Getmail besticht u.a. durch seine modulare Architektur. Es kann sowohl von IMAP-Accounts als auch von POP3-Accounts (jeweils wahlweise SSL-gesichert) Mails abholen und lokal weiter verarbeiten. Sowohl für die Weiterverarbeitung (''»destination«'') als auch für das Abholen der Emails (''»retriever«'') stehen verschiedene Adapter zur Verfügung.

==Beispiel==
Die Konfigurationsdatei erwartet Getmail als '''~/getmail/getmailrc'''. Falls man jedoch mehrere unabhängige POP3- oder IMAP-Konten abrufen möchte, bietet sich an die Konfiguration in einzelne Dateien zu setzen und jeweils mit dem Parameter '''--rcfile=...''' die passende RC-Datei anzugeben.

===POP3S und Courier===
Die auf Schokokeks.org vermutlich am häufigsten verwendete Variante ist die Kombination aus POP3 mit SSL-Verschlüsselung zum Empfangen und die lokale Übergabe an Courier zur Zustellung.

Eine passende Konfigurationsdatei sieht dann so aus:
[options]
verbose = 0
read_all = True
delete = True
received = False
delivered_to = False
message_log = ~/.getmail/logfile.log
timeout = 240

[retriever]
type = SimplePOP3SSLRetriever
server = ''<pop3-server>''
username = ''<pop3-user>''
password = ''<pop3-password>''

[destination]
type = MDA_external
path = /usr/bin/sendmail
arguments = ("-f", "%(sender)", "''<zieladresse>''", )

Wobei ''<pop3-server>'', ''<pop3-user>'' und ''<pop3-password>'' durch die Zugangsdaten des POP3-Servers und ''<zieladresse>'' durch eine Adresse ersetzt werden muss.
Soll der Nachrichten-Abruf ohne SSL-Verschlüsselung funktionieren, dann muss lediglich ''SimplePOP3SSLRetriever'' durch ''SimplePOP3Retriever'' ersetzt werden.

==Cron==

Ein Aufruf für getmail in der crontab könnte etwa so aussehen:

*/15 * * * * nice -n 15 /usr/bin/getmail --rcfile=/home/<benutzername>/.getmail/getmailrc-2

Mailheader

2020-05-24T07:48:20Z

Hanno:

Wir fügen in einige vom System erstellte Mails eigene Header ein, um die Sortierung zu erleichtern. Feldname ist jeweils '''X-schokokeks-org-message'''.

{| border=1
|-
| '''Wert''' || '''Bedeutung'''
|-
| invoice || Rechnung
|-
| freewvs || Meldung über verwundbare Webanwendung
|-
| webapps || Meldung von Webapp-Installationsskript (im moment nur für shared Drupal)
|-
| webinterface || Mails vom Konfigurationsinterface
|-
|}

Trac

2020-05-04T16:28:46Z

Hanno:

{{AlertBox
|title=Veraltete Anleitung
|content=Diese Anleitung funktioniert aktuell nicht mehr, da wir Trac nicht mehr systemweit bereitstellen. Aus Archivgründen lassen wir sie dennoch online.
}}

== Einführung ==
[http://trac.edgewall.org/ Trac] ist ein in Python geschriebenes, ausgesprochen populäres Projektmanagement-Tool. Es kombiniert Bugtracker, ein minimalistisches Wiki und einen Sourcecode-Browser für verschiedene Versionsmanagement-Systeme und eignet sich dadurch sehr gut für Open Source Projekte jeder Größe.

Die Installation von Trac unterscheidet sich prinzipiell von der Installation üblicher PHP/MySQL Applikationen, weshalb sie hier genauer ausgeführt wird.

=== Technische Vorraussetzungen ===
Wir gehen im Folgenden davon aus, dass ''trac.host.com'' über das [https://config.schokokeks.org/ Konfigurations-Interface] konfiguriert ist und Das ''htdocs''-Verzeichnis in /home/<user>/websites/trac.host.com/htdocs liegt.

Trac selbst ist bereits auf dem Server installiert. Derzeitig liegt es in der Version 0.11 vor.

Wenn MySQL als RDBMS verwendet werden soll, muss eine MySQL-Datenbank verfügbar sein. Diese lässt sich ebenso über die Konfigurations-Maske anlegen.

== Trac installieren ==
=== Trac-Umgebung aufsetzen ===
Trac wird mit einem Kommandozeilen-Werkzeug ''trac-admin'' ausgeliefert. Mit ''trac-admin'' lassen sich alle administrativen Aufgaben auch von der Kommandozeile erledigen.

==== Verzeichnis auswählen ====
Die Trac-Umgebung kann vollständig getrennt vom eigentlichen htdocs-Verzeichnis installiert werden. Das ist aus Sicherheitsgründen eine sehr gute Idee. Wir entscheiden uns hier für ''/home/<user>/websites/trac.host.com/trac''.

==== RDBMS auswählen ====
Trac unterstützt prinzipiell PostgreSQL, MySQL und Sqlite, wobei die letzte Variante am besten getestet ist. Trotzdem habe ich mehrfach Trac in Kombination mit MySQL eingesetzt und dabei bisher keine Probleme festgestellt.

==== Trac-Umgebung initialisieren ====
Um Trac zu initialisieren, verwenden wir das Kommandozeilen-Werkzeug und führen ''trac-admin /home/<user>/websites/trac.host.com/trac initenv'' aus. ''initenv'' führt uns interaktiv durch die Installation.

===== Projektname festlegen =====

$ trac-admin /home/<user>/websites/trac.host.com/trac initenv
Creating a new Trac environment at /home/<user>/websites/trac.host.com/trac

Trac will first ask a few questions about your environment
in order to initalize and prepare the project database.

Please enter the name of your project.
This name will be used in page titles and descriptions.

Project Name [My Project]> Mein Projektname

Der Projektname kann beliebig vergeben werden und kann später editiert werden. Geben Sie einen Projektname an und bestätigen diesen mit der Eingabetaste.

===== Datenbankverbindung angeben =====

Nach der Vergabe des Projektnames wird nach den Datenbank-Verbindungsinformationen gefragt. Als Standard wird sqlite vorgeschlagen, falls das verwendet werden soll, einfach die Eingabetaste betätigen.

Please specify the connection string for the database to use.
By default, a local SQLite database is created in the environment
directory. It is also possible to use an already existing
PostgreSQL database (check the Trac documentation for the exact
connection string syntax).

Database connection string [sqlite:db/trac.db]>

Wenn MySQL verwendet werden soll, sehen die Verbindungsinformationen ähnlich aus wie diese:

mysql://<user>:<password>@localhost/<datenbank name>

Die Felder in spitzen Klammern sind natürlich durch die entsprechenden Werte zu ersetzen.

Wenn Trac die Datenbank-Verbindung akzeptiert und sich verbinden kann, wird das Trac-Schema angelegt.

===== VCS-Integration =====
Please specify the type of version control system,
By default, it will be svn.

If you don't want to use Trac with version control integration,
choose the default here and don't specify a repository directory.
in the next question.

Repository type [svn]>

Wenn Sie Subversion verwenden wollen, bestätigen sie diese Voreinstellung einfach mit der Eingabetaste. Die VCS-Integration kann später auch noch angepasst werden.

Die nächste Frage bezieht sich auf die Position des Subversion-Repositories im Dateisystem. Trac kann nur mit Subversion integriert werden, wenn das Repository lokal verfügbar ist.

Please specify the absolute path to the version control
repository, or leave it blank to use Trac without a repository.
You can also set the repository location later.

Path to repository [/path/to/repos]> /home/<user>/subversion/svn.host.com/repositories/<project>

Das war's auch schon, nach der Bestätigung des Repository-Pfades sollten Sie eine Meldung ähnlich zu dieser erhalten:

Project environment for 'My Project' created.

You may now configure the environment by editing the file:

/home/lars/websites/projects.usrportage.de/trac/portage-mod-jabber/conf/trac.ini

If you'd like to take this new project environment for a test drive,
try running the Trac standalone web server `tracd`:

tracd --port 8000 /home/lars/websites/projects.usrportage.de/trac/portage-mod-jabber

Then point your browser to http://localhost:8000/portage-mod-jabber.
There you can also browse the documentation for your installed
version of Trac, including information on further setup (such as
deploying Trac to a real web server).

The latest documentation can also always be found on the project
website:

http://trac.edgewall.org/

Congratulations!

==== Trac im Web verfügbar machen ====
Ihre Trac-Umgebung ist nun initialisiert, allerdings noch nicht im Web verfügbar. Wir wollen, dass Trac unter http://trac.host.com erreichbar wird. Deshalb machen wir unsere Trac-Installation in ''/home/<user>/websites/trac.host.com/htdocs'' verfügbar. Wir kopieren dazu ''/usr/share/webapps/trac/0.11/hostroot/cgi-bin/trac.fcgi'' nach ''/home/<user>/websites/trac.host.com/htdocs/index.fcgi''.

cp /usr/share/webapps/trac/0.12.2/hostroot/cgi-bin/trac.fcgi /home/<user>/websites/trac.host.com/htdocs/index.fcgi

===== TRAC_ENV path =====
Nun muss dem FastCGI-Endpoint noch bekannt gegeben werden, welche Trac-Umgebung der ausliefern soll. Dazu müssen wir die Datei ''/home/<user>/websites/trac.<host.com>/htdocs/index.fcgi'' editieren.

$ nano /home/<user>/websites/trac.<host.com>/htdocs/index.fcgi

Diese sieht so aus:

try:
from trac.web import fcgi_frontend
fcgi_frontend.run()
except SystemExit:
raise
except Exception, e:
print 'Content-Type: text/plain\r\n\r\n',
print 'Oops...'
print
print 'Trac detected an internal error:'
print
print e
print
import traceback
import StringIO
tb = StringIO.StringIO()
traceback.print_exc(file=tb)
print tb.getvalue()

Wir interessieren uns für den oberen Teil, vor dem import-Statement. Wir importieren das Python-Modul ''os'', um die Environment-Variable ''TRAC_ENV'' setzen zu können. Der obere Teil muss also so aussehen:

try:
import os
os.environ['TRAC_ENV'] = '/home/<user>/websites/trac.host.com/trac/'
from trac.web import fcgi_frontend
fcgi_frontend.run()
except SystemExit:
raise
except Exception, e:
print 'Content-Type: text/plain\r\n\r\n',
print 'Oops...'
print
print 'Trac detected an internal error:'
print
print e
print
import traceback
import StringIO
tb = StringIO.StringIO()
traceback.print_exc(file=tb)
print tb.getvalue()

===== .htaccess =====
Neben der Anpassung der ''index.fcgi'' benötigen wir noch eine ''.htaccess''-Datei um das Verhalten des Webservers zu beeinflussen.

$ nano /home/<user>/websites/trac.<host.com>/htdocs/.htaccess

Erstmal müssen wir dafür sorgen, dass CGIs ausgeführt werden. Außerdem sorgt dafür, dass alle Anfragen auf das Script ''index.fcgi'' laufen:

Options +ExecCGI
<br />
RewriteEngine On
RewriteRule ^$ %{REQUEST_URI}index.fcgi [L]
RewriteCond %{REQUEST_FILENAME} !\.(png|css|fcgi|txt|jpe?g|gif|pdf|svg)$
RewriteRule ^(.*)$ index.fcgi/$1 [L,QSA]

Nach diesen letzten Anpassungung können Sie erstmals Trac unter http://trac.host.com/ aufrufen. Als nächster Schritt folgt nun die [[Trac#Trac_konfigurieren|Anpassung]] der frisch installierten Trac-Instanz, speziell die Einrichtung des Logins.

== Trac konfigurieren ==
=== Login einrichten ===

Der letzte fehlende Punkt um Trac nutzen zu können, ist der fehlende Login. Trac authentifiziert normalerweise über HTTP Authentication. Allerdings wäre dafür eine spezielle Apache-Konfiguration notwendig, was wir aber vermeiden möchten. Deshalb verwenden wir das [http://trac-hacks.org/wiki/AccountManagerPlugin AccountManager-plugin].

==== Exkurs: Eigene Plugins installieren und verwenden ====
Um eigene Plugins installieren zu können, müssen wir die Direktive ''plugins_dir'' in der Sektion ''inherit'' in der '''conf/trac.ini''' anpassen:

$ nano /home/<user>/websites/trac.<host.com>/trac/conf/trac.ini

Nehmen wir an, dass wir Plugins nach ''/home/<user>/websites/trac.<host.com>/trac/plugins'' installieren wollen.

[inherit]
plugins_dir = /home/<user>/websites/trac.<host.com>/trac/plugins

Trac-Plugins werden mithilfe der Python [http://peak.telecommunity.com/DevCenter/setuptools Setuptools] installiert. Damit das funktioniert, muss noch die Umgebungsvariable PYTHONPATH angepasst werden.

nano /home/<user>/.bashrc

Hier muss am Ende folgendes eingefügt werden:

PYTHONPATH=${PYTHONPATH}:/home/<user>/websites/trac.<host.com>/trac/plugins

Danach muss man sich aus und neu einloggen!

Danach können Plugins mit dem folgendem Kommando installiert werden:

easy_install --install-dir /home/<user>/websites/trac.<host.com>/trac/plugins <plugin>

Wobei <plugin> die URL des Plugins sein muss.

==== AccountManager-Plugin installieren ====
Mit folgendem Kommando wird das AccountManager-Plugin installiert.

easy_install --install-dir /home/<user>/websites/trac.<host.com>/trac/plugins/ <Repository des AccountManager-PlugIns>

Welchen Link Ihr zum Repository braucht, erfahrt ihr auf der [http://trac-hacks.org/wiki/AccountManagerPlugin#ReleaseStatusDownloadsandSource Projektseite zum PlugIn]. Im trunk des Repository erhaltet ihr immer die aktuellste Version, die sich in der Entwicklung befindet. Hierbei ist allerdings zu beachten, dass diese Version nicht unbedingt zu jedem Zeitpunkt funktioniert. Daher wir empfohlen, die letzte stabile Version zu nutzen.

==== AccountManager-Plugin konfigurieren ====
Um dass AccountManager-Plugin zu verwenden, muss es noch konfiguriert werden.

Als erstens müssen wir dem benutzer ein Passwort zuweisen. das machen wir damit indem wir eine Passwd-Date anlegen:

/usr/sbin/htpasswd2 -c /home/<user>/websites/trac.<host.com>/users <user>

Jetzt öffnen wir die Trac-Konfigurationsdatei:

nano /home/<user>/websites/trac.<host.com>/trac/conf/trac.ini

Danach muss folgendes muss daher an die Trac-Konfigurationsdatei angefügt werden:

[components]

Default-Login-Komponente deaktivieren

trac.web.auth.loginmodule = disabled

AccountManager Login-Komponente aktivieren

acct_mgr.web_ui.loginmodule = enabled

Passwörter werden im htpasswd-Format abgelegt

acct_mgr.htfile.htpasswdstore = enabled

Administrations-Seite aktivieren

acct_mgr.admin.accountmanageradminpage = enabled

[account-manager]

Passwörter liegen im htpasswd-Format vor

password_store = HtPasswdStore

Pfad zur htpasswd-Datei

password_file = /home/<user>/websites/trac.<host.com>/users

Danach sieht die Konfiguration folgendermaßen aus:

[components]
trac.web.auth.loginmodule = disabled
acct_mgr.web_ui.loginmodule = enabled
acct_mgr.htfile.htpasswdstore = enabled
acct_mgr.admin.accountmanageradminpage = enabled

[account-manager]
password_store = HtPasswdStore
password_file = /home/<user>/websites/trac.<host.com>/users

Nun kann man sich mit einem Benutzer anmelden, der in ''/home/<user>/websites/trac.<host.com>/users'' definiert ist, anmelden.

Um einen neuen benutzer anzulagen verwendet man:

/usr/sbin/htpasswd2 /home/<user>/websites/trac.<host.com>/users <new user>

==== Benutzer zum Administrator machen ====
Damit ein Benutzer zum Administrator wird, müssen er die Rolle ''TRAC_ADMIN'' haben. Dazu verwenden wir wieder das ''trac-admin'' Kommandozeilen-Werkzeug:

trac-admin /home/<user>/websites/trac.<host.com>/trac permission add <username> TRAC_ADMIN

=== Mail-Konfiguration ===

Trac versendet Emails über neue und geänderte Tickets. Damit das funktioniert, müssen in der ''notification''-Sektion einige Einstellungen gemacht werden:

[notification]
smtp_port = 25
smtp_server = localhost
smtp_from = no-reply@trac.host.com
smtp_always_bcc = owner@project.com
smtp_enabled = true
smtp_replyto = email@trac.host.com

Die meisten der Optionen sind selbsterklärend, ''smtp_always_bcc'' sendet standardmäßig eine Benachrichtigung über jede Ticket-Änderung an eine Standard-Adresse. Dies ist z.B. hilfreich, wenn der Projektbesitzer alles mitbekommen möchte und sich der Ticket-Traffic in Grenzen hält.

=== HTTP-Authentication ===
Für einige Plugins und Zusatzfunktionen benötigt man HTTP-Authentication. Dazu muss das Plugin [http://trac-hacks.org/wiki/HttpAuthPlugin HttpAuthPlugin] installiert werden.
Unser Setup erlaubt zwar indirekt das Auswerten der passenden Header-Daten, diese kommen aber auf unüblichem Wege zum Trac. (Direkter Zugang zu den Headern ist bei CGI-Aufruf nicht vorgesehen.)

Eine Lösung ist hier beschrieben: http://trac-hacks.org/ticket/1169#comment:14

=== VCS Integration ===
==== Subversion ====
siehe [[Subversion]]

E-Mail/Getmail

2020-01-20T09:30:00Z

Hanno: /* Cron */ manueller python-aufruf raus

[[Kategorie:E-Mail]]

{{E-Mail-Warnung}}

Die Software [http://pyropus.ca/software/getmail/ Getmail] ermöglicht, dass E-Mails automatisch von einem entfernten Server abgeholt werden. Das klassische Unix-Werkzeug für diese Aufgabe ist ''fetchmail'', das jedoch mittlerweile in die Jahre gekommen ist. Getmail besticht u.a. durch seine modulare Architektur. Es kann sowohl von IMAP-Accounts als auch von POP3-Accounts (jeweils wahlweise SSL-gesichert) Mails abholen und lokal weiter verarbeiten. Sowohl für die Weiterverarbeitung (''»destination«'') als auch für das Abholen der Emails (''»retriever«'') stehen verschiedene Adapter zur Verfügung.

==Beispiel==
Die Konfigurationsdatei erwartet Getmail als '''~/getmail/getmailrc'''. Falls man jedoch mehrere unabhängige POP3- oder IMAP-Konten abrufen möchte, bietet sich an die Konfiguration in einzelne Dateien zu setzen und jeweils mit dem Parameter '''--rcfile=...''' die passende RC-Datei anzugeben.

===POP3S und Courier===
Die auf Schokokeks.org vermutlich am häufigsten verwendete Variante ist die Kombination aus POP3 mit SSL-Verschlüsselung zum Empfangen und die lokale Übergabe an Courier zur Zustellung.

Eine passende Konfigurationsdatei sieht dann so aus:
[options]
verbose = 0
read_all = True
delete = True
received = False
delivered_to = False
message_log = ~/.getmail/logfile.log
timeout = 240

[retriever]
type = SimplePOP3SSLRetriever
server = ''<pop3-server>''
username = ''<pop3-user>''
password = ''<pop3-password>''

[destination]
type = MDA_external
path = /usr/bin/sendmail
arguments = ("-f", "%(sender)", "''<zieladresse>''", )

Wobei ''<pop3-server>'', ''<pop3-user>'' und ''<pop3-password>'' durch die Zugangsdaten des POP3-Servers und ''<zieladresse>'' durch eine Adresse ersetzt werden muss.
Soll der Nachrichten-Abruf ohne SSL-Verschlüsselung funktionieren, dann muss lediglich ''SimplePOP3SSLRetriever'' durch ''SimplePOP3Retriever'' ersetzt werden.

==Cron==

Ein Aufruf für getmail in der crontab könnte etwa so aussehen:

*/15 * * * * nice -n 15 /usr/bin/getmail --rcfile=/home/<benutzername>/.getmail/getmailrc-2

Freewvs

2019-12-17T14:17:46Z

Hanno:

Webanwendungen, insbesondere PHP-Applikationen, sind besonders häufig von Sicherheitsproblemen betroffen. Deshalb ist es besonders wichtig, solche Anwendungen zeitnah zu aktualisieren.

Um Ihnen für diesen Zweck ein Werkzeug in die Hand zu geben und zudem um uns eine Möglichkeit zu geben, unseren Server auf Schwachstellen zu prüfen, haben wir ein eigenes Programm entwickelt: freewvs (»free web vulnerability scanner«). Dieses Programm erkennt, welche Anwendung in welcher Version installiert ist und schlägt ggf. vor, welche Version mindestens installiert sein sollte um keine aktuell bekannten Sicherheitslücken zu haben.

= Download =

freewvs ist freie Software unter der CC0-Lizenz: https://freewvs.schokokeks.org/

Weitere Infos gibt es auch in der [https://git.schokokeks.org/freewvs.git/ README.md im Git-Repository].

= Anwendung auf schokokeks.org =

Für unsere Benutzer ist systemweit dieses Programms installiert, das mittels

freewvs [pfad zum docroot]

benutzt werden kann.

=Automatische Überprüfungen=

Zusätzlich besteht auch die Möglichkeit, sich automatisch über Probleme benachrichtigen zu lassen. Als Benutzer von schokokeks.org können Sie im Webinterface unter dem Punkt [https://config.schokokeks.org/go/webapps/freewvs freewvs] das Intervall der automatischen Überprüfung einstellen.

Damit werden alle Ihre Domains und Subdomains automatisch geprüft und Sie erhalten die Ergebnisse ggf. per E-Mail.

Einmalpasswörter

2019-12-07T12:58:46Z

Hanno:

{{AlertBox
|title=Hinweis
|content=Wir haben die Unterstützung für skey entfernt, belassen diese Anleitung aber hier, falls sie für andere Nutzer interessant ist.
}}

Wenn man sich von einem Rechner, den andere Personen kontrollieren können (Internet-Café, bei Fremden, ...) mit einem Passwort einloggen möchte, besteht immer die reale Gefahr, dass der Rechner das Passwort irgendwo protokolliert ("Keylogger") und damit andere Personen Zugriff auf das Passwort und damit den benutzten Account haben.

Um diesem Problem ohne zusätzliche Hardware zu begegnen gibt es eigentlich nur eine funktionierende Lösung: One-Time-Passwords bzw. Einmalpasswörter (kurz: OTP).

Das Prinzip ist wie beim TAN-Verfahren im Online-Banking, dass es eine Liste von möglichen Passwörtern gibt und jedes kann nur einmal benutzt werden.

==S/Key==

Wir setzen für diesen Zweck '''S/Key''' ein. Dieses System kommt von OpenBSD.

Diese Einmalpasswörter haben zwei interessante Vorteile:

# die Einmalpasswörter werden aus einer für den Benutzer eindeutigen ID, der OTP-Nummer und einem geheimen (konstanten) Passwort errechnet und nicht zufällig erzeugt. Es ist daher immer möglich, unter Kenntnis des konstanten Passworts das aktuell gültige OTP zu erzeugen.
# die Passwörter sind zwar relativ lang, aber sie werden als 2- bis 4-buchstabige englische Wörter ausgegeben, so dass man nicht Buchstabe für Buchstabe irgendwelche Zufallsfolgen eingeben muss sondern ein solches Passwort recht einfach von z.B. einem Zettel abschreiben kann.

Die Berechnung gültiger OTPs ist entweder mit dem Programm "skey" (bei uns installiert) oder auch über andere skey-kompatible Generatoren möglich. Solche Generatoren gibt es auch für Handys und PDAs, so dass man eventuell so einen Passwort-Generator immer dabei haben kann.

Beispiel für Java-fähige Handys: [https://fatsquirrel.org/software/vejotp/ VeJOTP].

==Einrichtung==

Vor der aller ersten Benutzung muss der Account für S/Key freigeschaltet werden und eine initiale Passwortliste erzeugt werden. Dies geschieht mit folgendem Befehl:

skeyinit -t sha1

{{AlertBox
|title=Bitte beachten Sie:
|content=Wir verwenden in diesem Beispiel den Hash-Algorithmus '''SHA1'''. Die Voreinstellung, MD5 ist sehr alt und gilt mittlerweile als nicht mehr sicher. Eventuell können Sie aber nicht mit jedem S/Key-kompatiblen Programm SHA1-Passwörter erzeugen.
}}

Dieses fragt folgende Dinge ab:

# Das normale Passwort (damit sich nicht ein Dritter Zugang verschaffen kann, nur weil man eine Konsole offen gelassen hat).
# Ein neues, sicheres Passwort. Es wird verlangt, dass dieses Passwort mindestens 10 Zeichen hat. Da man sich alleine mit Kenntnis dieses Passworts einloggen kann, sollte das auch wirklich ein gutes Passwort sein.
# Eine Wiederholung des gerade eingegebenen Passworts.

Es werden dann 100 OTPs erzeugt. S/Key nummeriert die OTPs absteigend, beginnend bei 99. So sieht man immer, wie viele man noch übrig hat.

Danach gibt es das erste OTP aus, das für den nächsten Login benutzt werden kann.

==Benutzung==

Wenn für den Benutzer eine Passwortliste hinterlegt ist, dann wird beim Login wahlweise das OTP oder das normale Passwort akzeptiert. Ein Login per SSH-Key geht natürlich ebenfalls weiterhin.

Beim Login zeigt S/Key dann etwas wie folgendes an:

otp-sha1 98 zuck45464
S/Key response or system password:

Er erwartet also SHA1-Passwort Nummer ''98'' für die Passwortliste mit der ID ''zuck45464''. Mit diesen Informationen kann man sich z.B. mittels

skey -t sha1 98 zuck45464

auf einem kompatiblen Gerät unter Eingabe des geheimen Passworts das passende OTP errechnen lassen.

{{AlertBox
|title=Wichtig
|content=Natürlich darf der als unsicher eingestufte Rechner '''nicht''' dazu benutzt werden, das OTP zu errechnen. Denn dazu muss das geheime Passwort eingegeben werden, mit dem ein Angreifer selbst weitere OTPs erzeugen kann.
}}

==Passwörter für unterwegs==

Da man nicht immer die Möglichkeit hat, Passwörter digital errechnen zu lassen, kann man sich auch eine Liste der kommenden Passwörter z.B. auf Papier ausdrucken und mitnehmen.

Eine Liste von 10 OTPs für die S/Key-Liste ''zuck45464'' beginnend ab Nummer 95 erhält man mit dem Befehl

skey -t sha1 -n '''10''' 95 zuck45464

==Erneuern der Passwortliste==

Sind alle OTPs verbraucht oder besteht Grund zur Annahme, dass das sichere Passwort doch nicht mehr so sicher ist, dann kann die Passwortliste erneuert werden. Das geht einfach wieder mit dem Befehl

skeyinit -t sha1

Mit diesem Befehl werden automatisch alle vorher erzeugten Einmalpasswörter ungültig. Dies ist also geeignet, wenn man z.B. eine Papier-Liste verloren hat.

==Passwortliste löschen==

Braucht man eine Liste nicht mehr, dann kann man mit

skeyinit -z

die komplette Liste löschen und damit die Benutzung von S/Key für diesen Benutzeraccount abschalten.

E-Mail/Anti-Spam

2019-12-07T12:57:21Z

Hanno: http zu https

Um unsere Benutzer so gut wie möglich vor Spam-E-Mails zu schützen, implementieren wir folgende Anti-Spam-Regeln.

==DNS-Blacklists==

Wir verwenden folgende Regeln anhand von DNS-Blacklists basierend auf IP-Adressen.

{| border="1"
! Liste !! Beschreibung !! Aktion
|-
| cbl.abuseat.org || Composite Blocking List || Wird nicht angenommen
|-
| ix.dnsbl.manitu.net || Anti-Spam-Projekt der iX || Wird nicht angenommen
|}

==SMTP-seitig==

Bevor unser Server eine E-Mail letztlich akzeptiert, werden die Angaben des Gegenüber zuerst geprüft. Folgende Tabelle zeigt die möglichen Fehler bei jedem Schritt.

{| border="1"
! Als Antwort auf !! temporärer Fehler !! permanenter Fehler
|-
| HELO || - || SPF-Eintrag für Hostname oder Domain der HELO-Angabe vorhanden aber IP-Adresse nicht erlaubt
|-
| MAIL FROM || DNS-Server der Domain nicht erreichbar || Domain syntaktisch nicht korrekt, Domain nicht gefunden, keine spitzen Klammern um die Adresse, kein Mailserver für eine Antwort zu ermitteln (DNS-Einstellungen der Domain kaputt)
|-
| RCPT TO || Mail an diesen Empfänger erzeugten bereits vorher temporäre Fehler (Fehlkonfiguration) || Empfänger unbekannt, Empfänger nicht lokal (Relaying), Eintrag auf Blacklist (s.o.)
|-
| DATA || Erster Versuch beim [[/Greylisting|Greylisting]] || -
|}

== Greylisting und Spamfilter ==

Zusätzlich setzen wir Greylisting und einen Spamfilter (spamassassin) ein.

==Informationen zum HELO-Check==

Laut [https://www.ietf.org/rfc/rfc2821.txt RFC 2821, Abschnitt 4.1.1.1] muss sich ein Rechner stets mit seinem korrekten Hostname (FQDN) melden. Sofern er keinen Hostname hat, ist eine IP-Adresse zu senden.

Eigentlich sind sämtliche Mail-Server falsch konfiguriert, die sich mit einem anderen als ihrem eigenen Namen melden. Leider gibt es aber zu viele Mail-Server um diese Bedingung durchzusetzen. Oft melden sich Mail-Server nur mit ihrer Domain, die gar nicht oder zu einem anderen Rechner aufgelöst werden kann.

SSL-Zertifikat

2019-12-07T12:56:11Z

Hanno:

Um Seiten verschlüsselt übertragen zu können, benötigt man ein TLS-Zertifikat. TLS ist der Nachfolger von SSL. Das Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.

Sie können bei schokokeks.org entweder ein eigenes Zertifikat eintragen oder ein Zertifikat von Let's Encrypt automatisch erstellen lassen.

== Zertifizierungsstellen ==

===Let's Encrypt===

Seit 2015 gibt es eine Zertifizierungsstelle, die die kostenlose und automatisierte Ausstellung von Zertifikaten erlaubt: [https://letsencrypt.org/ Let's Encrypt].

Als Kunde von schokokeks.org können Sie Zertifikate von Let's Encrypt automatisiert erstellen lassen. Dabei muss lediglich im entsprechenden Webhost "Automatische Zertifikatsverwaltung mit Let's Encrypt" ausgewählt werden.

Aus heutiger Sicht gibt es keinen Grund mehr, auf kostenpflichtige Zertifikate zu setzen.

===Extended Validation (EV) und Organization Validation (OV)===

Einige Zertifizierungsstellen bieten Zertifikate mit Extended Validation (EV) oder Organization Validation (OV) an. Diese sind deutlich teurer, haben aber keinerlei technische Vorteile. EV-Zertifikate führten früher dazu, dass ein Firmenname grün in der URL-Leiste angezeigt wird, dies ist in modernen Browsern nicht mehr der Fall. Mehr Sicherheit bieten diese Zertifikate nicht, die Verschlüsselungstechnologie bleibt die selbe.

Wir raten davon ab, überteuerte EV- oder OV-Zertifikate zu kaufen.

==Veraltet==

===CAcert.org===

Früher hatten wir die Community-Zertifizierungsstelle CAcert.org unterstütz. Inzwischen raten wir aber ausdrücklich von der Nutzung von CAcert ab, da diese Zertifikate von gängigen Browsern nicht akzeptiert werden. Besucher von Webseiten erhalten daher verwirrende und für sie oft unverständliche Fehlermeldungen.

CAcert war einst ein Versuch, eine kostenlose Zertifizierungsstelle zu schaffen. Allerdings gelang es CAcert nie, von den Browserherstellern akzeptiert zu werden. Ein dafür notwendiger Audit wurde nie durchgeführt. Durch die Gründung von Let's Encrypt ist CAcert weitestgehend obsolet.

===StartSSL und WoSign===

Früher haben die Firmen StartCOM/StartSSL und Wosign kostenlose Zertifikate angeboten. Nach einigen Problemen wurden diese jedoch aus den Browsern entfernt und werden heute nicht mehr akzeptiert.

[[Kategorie:SSL]]

Freewvs

2019-12-07T12:33:37Z

Hanno:

Webanwendungen, insbesondere PHP-Applikationen, sind besonders häufig von Sicherheitsproblemen betroffen. Deshalb ist es besonders wichtig, solche Anwendungen zeitnah zu aktualisieren.

Um Ihnen für diesen Zweck ein Werkzeug in die Hand zu geben und zudem um uns eine Möglichkeit zu geben, unseren Server auf Schwachstellen zu prüfen, haben wir ein eigenes Programm entwickelt: freewvs (»free web vulnerability scanner«). Dieses Programm erkennt, welche Anwendung in welcher Version installiert ist und schlägt ggf. vor, welche Version mindestens installiert sein sollte um keine aktuell bekannten Sicherheitslücken zu haben.

= Download =

freewvs ist freie Software unter der CC0-Lizenz: https://source.schokokeks.org/freewvs/

Weitere Infos gibt es auch in der [https://git.schokokeks.org/freewvs.git/ README.md im Git-Repository].

= Anwendung auf schokokeks.org =

Für unsere Benutzer ist systemweit dieses Programms installiert, das mittels

freewvs [pfad zum docroot]

benutzt werden kann.

=Automatische Überprüfungen=

Zusätzlich besteht auch die Möglichkeit, sich automatisch über Probleme benachrichtigen zu lassen. Als Benutzer von schokokeks.org können Sie im Webinterface unter dem Punkt [https://config.schokokeks.org/go/webapps/freewvs freewvs] das Intervall der automatischen Überprüfung einstellen.

Damit werden alle Ihre Domains und Subdomains automatisch geprüft und Sie erhalten die Ergebnisse ggf. per E-Mail.

Freewvs/FAQ

2019-12-07T12:31:50Z

Hanno: Der Seiteninhalt wurde durch einen anderen Text ersetzt: „We moved the FAQ to the README.md, see Git repository: https://git.schokokeks.org/freewvs.git/“

We moved the FAQ to the README.md, see Git repository:
https://git.schokokeks.org/freewvs.git/

Freewvs

2019-12-01T19:55:52Z

Hanno: /* Automatische Überprüfungen */

Webanwendungen, insbesondere PHP-Applikationen, sind besonders häufig von Sicherheitsproblemen betroffen. Deshalb ist es besonders wichtig, solche Anwendungen zeitnah zu aktualisieren.

Um Ihnen für diesen Zweck ein Werkzeug in die Hand zu geben und zudem um uns eine Möglichkeit zu geben, unseren Server auf Schwachstellen zu prüfen, haben wir ein eigenes Programm entwickelt: freewvs (»free web vulnerability scanner«). Dieses Programm erkennt, welche Anwendung in welcher Version installiert ist und schlägt ggf. vor, welche Version mindestens installiert sein sollte um keine aktuell bekannten Sicherheitslücken zu haben.

= Download =

freewvs ist freie Software unter der CC0-Lizenz: https://source.schokokeks.org/freewvs/

Es steht auch eine [[Freewvs/FAQ|FAQ]] zur Verfügung (englisch).

= Anwendung auf schokokeks.org =

Für unsere Benutzer ist systemweit dieses Programms installiert, das mittels

freewvs [pfad zum docroot]

benutzt werden kann.

=Automatische Überprüfungen=

Zusätzlich besteht auch die Möglichkeit, sich automatisch über Probleme benachrichtigen zu lassen. Als Benutzer von schokokeks.org können Sie im Webinterface unter dem Punkt [https://config.schokokeks.org/go/webapps/freewvs freewvs] das Intervall der automatischen Überprüfung einstellen.

Damit werden alle Ihre Domains und Subdomains automatisch geprüft und Sie erhalten die Ergebnisse ggf. per E-Mail.

Freewvs

2019-12-01T19:55:21Z

Hanno:

Webanwendungen, insbesondere PHP-Applikationen, sind besonders häufig von Sicherheitsproblemen betroffen. Deshalb ist es besonders wichtig, solche Anwendungen zeitnah zu aktualisieren.

Um Ihnen für diesen Zweck ein Werkzeug in die Hand zu geben und zudem um uns eine Möglichkeit zu geben, unseren Server auf Schwachstellen zu prüfen, haben wir ein eigenes Programm entwickelt: freewvs (»free web vulnerability scanner«). Dieses Programm erkennt, welche Anwendung in welcher Version installiert ist und schlägt ggf. vor, welche Version mindestens installiert sein sollte um keine aktuell bekannten Sicherheitslücken zu haben.

= Download =

freewvs ist freie Software unter der CC0-Lizenz: https://source.schokokeks.org/freewvs/

Es steht auch eine [[Freewvs/FAQ|FAQ]] zur Verfügung (englisch).

= Anwendung auf schokokeks.org =

Für unsere Benutzer ist systemweit dieses Programms installiert, das mittels

freewvs [pfad zum docroot]

benutzt werden kann.

=Automatische Überprüfungen=

Zusätzlich besteht auch die Möglichkeit, sich automatisch über Probleme benachrichtigen zu lassen. Als Benutzer von schokokeks.org können Sie im Webinterface unter dem Punkt [https://config.schokokeks.org/go/freewvs/freewvs.php freewvs] das Intervall der automatischen Überprüfung einstellen.

Damit werden alle Ihre Domains und Subdomains automatisch geprüft und Sie erhalten die Ergebnisse ggf. per E-Mail.

Freewvs

2019-12-01T19:54:39Z

Hanno:

Webanwendungen, insbesondere PHP-Applikationen, sind besonders häufig von Sicherheitsproblemen betroffen. Deshalb ist es besonders wichtig, solche Anwendungen zeitnah zu aktualisieren.

Um Ihnen für diesen Zweck ein Werkzeug in die Hand zu geben und zudem um uns eine Möglichkeit zu geben, unseren Server auf Schwachstellen zu prüfen, haben wir ein eigenes Programm entwickelt: freewvs (»free web vulnerability scanner«). Dieses Programm erkennt, welche Anwendung in welcher Version installiert ist und schlägt ggf. vor, welche Version mindestens installiert sein sollte um keine aktuell bekannten Sicherheitslücken zu haben.

= Download =

freewvs ist freie Software unter der CC0-Lizenz: https://source.schokokeks.org/freewvs/

Es steht auch eine [[/FAQ|FAQ]] zur Verfügung (englisch).

= Anwendung auf schokokeks.org =

Für unsere Benutzer ist systemweit dieses Programms installiert, das mittels

freewvs [pfad zum docroot]

benutzt werden kann.

=Automatische Überprüfungen=

Zusätzlich besteht auch die Möglichkeit, sich automatisch über Probleme benachrichtigen zu lassen. Als Benutzer von schokokeks.org können Sie im Webinterface unter dem Punkt [https://config.schokokeks.org/go/freewvs/freewvs.php freewvs] das Intervall der automatischen Überprüfung einstellen.

Damit werden alle Ihre Domains und Subdomains automatisch geprüft und Sie erhalten die Ergebnisse ggf. per E-Mail.

PHP/PEAR

2019-07-22T07:47:35Z

Hanno:

{{AlertBox
| title=Hinweis
| content=Die Informationen hier sind veraltet. Wir haben PEAR inzwischen vom Server entfernt, da es kaum noch genutzt wird und stattdessen nahezu alle PHP-Anwendungen Composer verwenden. Falls Sie Kunde bei uns sind und PEAR noch verwenden möchten nehmen Sie bitte Kontakt auf.
}}

Das PHP Extension and Application Repository (PEAR) ist eine Sammlung fertiger PHP-Lösungen für viele Standardaufgaben. Um Pakete von dieser Sammlung zu installieren, steht der PEAR-Paket-Manager zur Verfügung, den Sie auf der SSH-Kommandozeile nutzen können.

== Eigene PEAR-Umgebung in Betrieb nehmen ==

Vor der ersten Nutzung müssen Sie allerdings Ihre eigene PEAR-Datenbank in Betrieb nehmen, da Sie als Benutzer natürlich keine Pakete für alle Benutzer verwalten können.

Führen Sie daher folgende Befehle aus:
pear config-create ${HOME}/websites ${HOME}/.pearrc
Dabei wird eine Konfigurationsdatei erstellt, die sich auf Verzeichnisse im Pfad ~/websites/pear bezieht.

Damit PEAR dieses Verzeichnis erstellt, führen Sie bitte einmal diesen Befehl aus:
pear channel-update pear.php.net

Aufgrund eines momentan nicht näher eingegrenzten Fehlers wird dabei ein Verzeichnis nicht automatisch erzeugt, was später zu Problemen führt. Bitte führen Sie daher auch noch folgendes Kommando aus:
mkdir ~/websites/pear/cache

Damit haben Sie bereits die Voraussetzungen geschaffen um PEAR-Pakete installieren zu können.

== Pakete installieren ==

Um nun ein Paket aus der PEAR-Sammlung zu installieren, können Sie wie gewohnt
pear install [Projekt/Paketname]
verwenden.

Normalerweise kennt PEAR nur die Pakete, die direkt unter pear.php.net angeboten werden. Bei Paketen aus einer anderen Quelle muss diese Quelle vorher noch hinzugefügt werden:
pear channel-discover [Quelle]

== PEAR-Pakete in eigenen PHP-Scripts verwenden ==

Um die installierten PEAR-Pakete nutzen zu können, müssen Sie den ''include_path'' erweitern. Dazu können Sie entweder direkt im betreffenden PHP-Script am Beginn in etwa den Befehl
set_include_path(get_include_path() . PATH_SEPARATOR . '/home/username/websites/pear/php');
eintragen, oder Sie erstellen eine Datei .user.ini im Stammverzeichnis der betreffenden Website mit dem Inhalt
include_path = '.:/usr/share/php5:/usr/share/php:/home/username/websites/pear/php';

Mercurial

2019-02-10T11:32:45Z

Hanno: example.org statt ungültiger beispieldomain, beispiel-URLs nicht zu echten links machen

[http://selenic.com/mercurial/ Mercurial] ist ein Versionierungsprogramm ähnlich wie [[Git]]. Es ist standardmäßig installiert und kann über <tt>hg</tt> aufgerufen werden. Mehr Information zu Mercurial findet man im Mercurial Wiki: [http://www.selenic.com/mercurial/wiki/index.cgi/QuickStart QuickStart] (englisch).

= Veröffentlichung auf einer Homepage =

Ein Repository auf dem Server kann über ein CGI-Skript veröffentlicht werden, so das jeder Besucher mit seinem Browser das Repository anzeigen kann, die Logs lesen kann, das Repository clonen kann, etc.

Folgend nun eine kurze Installationsanleitung für schokokeks.org, für genauere Informationen steht das Mercurial Wiki zur Verfügung: [http://www.selenic.com/mercurial/wiki/index.cgi/CGIinstall CGIinstall] (englisch).

Die folgende Verzeichnisstruktur wird angenommen, sie kann natürlich angepasst werden. Alle folgenden Befehle finden, soweit nicht anders angegeben, auf dem schokokeks.org Server statt.

$HOME/htdocs/ <- über Browser zugänglich
$HOME/htdocs/hg/ <- hier wird Mercurial zugänglich sein

$HOME/hg/ <- Mercurial Repositories werden hier gespeichert
$HOME/hg/repository/ <- Test Repository

Zuerst muss das Repository erstellt werden.

% cd $HOME/hg/repository
% hg init

Ein schon vorhandenes Repository kann natürlich einfach nach <tt>$HOME/hg/repository</tt> kopiert werden.

Es sollte eine hgrc Datei in <tt>$HOME/hg/repository/.hg/hgrc</tt> mit folgendem Inhalt erstellt werden (die Daten natürlich anpassen):

[web]
description = Eine kurze Beschreibung des Repository.
author = Ihr Name <ihr-name@example.org>

Nun muss das CGI-Skript herunter geladen werden. Die Datei ist auf dem offiziellen Mercurial Server zugänglich: http://selenic.com/hg/raw-file/tip/hgweb.cgi Sie muss unter <tt>$HOME/htdocs/hg/index.cgi</tt> gespeichert werden und die folgenden Änderungen müssen an ihr vorgenommen werden:

In der vorletzten Zeile muss <tt>/path/to/repo</tt> durch den Pfad zum Repository ersetzt werden. Achtung, hier kann nicht <tt>$HOME/hg/repository</tt> eingetragen werden, es muss der komplette absolute Pfad ohne Variablen sein, z. B. <tt>/home/ihr-benutzername/hg/repository</tt>. Ebenfalls in der vorletzten Zeile muss "repository name" durch den gewünschten Repositorynamen ersetzt werden, dieser wird dann im Browser angezeigt. Die letzten beiden Zeilen von <tt>index.cgi</tt> könnten zum Beispiel so aussehen:

application = hgweb("/home/ihr-benutzername/hg/repository", "Test Repository")
wsgicgi.launch(application)

<tt>index.cgi</tt> muss ausführbar sein:

chmod a+x index.cgi

Ebenfalls muss eine <tt>.htaccess</tt> Datei in <tt>$HOME/htdocs/hg/.htaccess</tt> mit dem folgenden Inhalt erstellt werden, damit das CGI-Skript ausgeführt wird.

# Anfragen an dieses Verzeichnis werden auf index.cgi umgeleitet, genauso
# wie sie normalerweise auf index.html oder index.php umgeleitet werden.
DirectoryIndex index.cgi

# CGI Skripte erlauben.
Options FollowSymlinks ExecCGI

Die fertige Dateistruktur sieht nun so aus (<tt>...</tt> sind Dateien des Repository):

$HOME/htdocs/
$HOME/htdocs/hg/
$HOME/htdocs/hg/.htaccess
$HOME/htdocs/hg/index.cgi
$HOME/hg/
$HOME/hg/repository/
$HOME/hg/repository/.hg
$HOME/hg/repository/.hg/hgrc
$HOME/hg/repository/...

Nun kann das Repository über <nowiki>https://example.org/hg/</nowiki> betrachtet werden. Ein Klonen ist auch direkt möglich (lokal auf dem Computer, nicht auf dem Server):

<nowiki>% hg clone https://example.org/hg/ repository</nowiki>

Wenn auf dem Server neue Änderungen liegen, kann das lokale Repository (mit clone erstellt) mit "pull" aktualisiert werden (ebenfalls nicht auf dem Server).

% cd repository
% hg pull

= Zugriff auf das Repository mit SSH =

Mercurial ermöglicht es Änderungen über SSH lokal von einem Computer aus an das Repository zu übertragen ("pushen"). Dazu muss SSH korrekt konfiguriert sein und das anmelden bei schokekeks.org muss funktionieren; mehr Informationen dazu unter [[Key-Login (OpenSSH)]].

Im folgenden wird die gleiche Verzeichnisstruktur wie oben angenommen. Für weitere Informationen dient ebenfalls wieder das Mercurial Wiki: [http://www.selenic.com/mercurial/wiki/index.cgi/SharedSSH SharedSSH] (englisch).

Die folgenden Befehle finden alle lokal auf dem Computer statt, nicht auf dem Server.

Zuerst muss das Repository geklont werden:

<nowiki>% hg clone ssh://ihr-benutzername@schokokeks.org/hg/repository/</nowiki>

Nun können Änderungen am lokalen Repository die auf den Server übertragen werden sollen, einfach mit "push" hochgeladen werden.

% cd repository
% hg push

Falls das Repository nicht direkt mit clone vom Server erstellt wurde, muss die URL angegeben werden:

<nowiki>% hg push ssh://ihr-benutzername@schokokeks.org/hg/repository/</nowiki>

Nun sind die Daten aktualisiert und können unter <nowiki>https://example.org/hg/</nowiki> betrachtet und von anderen geklont werden.

Falls das dauerhafte angeben der URL zu mühsam ist, oder der Fehler "ssl required" beim "pushen" auftritt, muss die hgrc Datei in <tt>repository/.hg/hgrc</tt> (lokal auf dem Computer, nicht auf dem Server)
bearbeitet werden. Dort einfach die folgenden Zeilen bearbeiten (natürlich anpassen):

[paths]
<nowiki>default = ssh://ihr-benutzername@schokokeks.org/hg/repository/</nowiki>

Dann wird automatisch zu dieser Adresse "gepusht".

Git

2019-02-10T11:26:31Z

Hanno: Unsinnigen ssh-link nicht erstellen mit nowiki

{{Box
| title = Warning
| content = Diese Anleitung wurde von einem Kunden bereitgestellt. Wir empfehlen wenn dies möglich ist Gitolite nicht manuell zu installieren, sondern die von uns zentral verwaltete Instanz zu nutzen. Sie können Repositories und Accounts in unserem Konfigurationsinterface unter dem Punkt Benutzeraccounts / Git-Zugänge einrichten.
| image = Construction.png
| background = white
| border_color = red
| border_thickness = 2px
}}

= Git über SSH =

== Direkt im Benutzeraccount ==
Die einfachste Methode ohne besondere Konfiguration besteht darin, ein GIT-Repository in Ihrem Benutzeraccount anzulegen und per SSH darauf zuzugreifen. Der Zugriff erfolgt dann z.B. mittels
<nowiki>git remote add origin ssh://benutzer@zucker.schokokeks.org/~/git/my-repo.git</nowiki>
Diese Methode steuert den Zugriff nicht separat sondern erfordert eine SSH-Anmeldung um das Repository lesen und schreiben zu können. Ein Arbeiten mit mehreren Entwicklern ist damit nicht empfehlenswert.

== Gitosis / Gitolite ==
Auf unseren Servern ist Gitolite bzw. Gitosis intalliert und kann von jedem Benutzer in seinem eigenen Home-Verzeichnis benutzt werden.

Bei diesem Verfahren authentifizieren sich die Entwickler per SSH-Key, somit kann einem Entwickler Zugriff auf ein Repository eingeräumt werden ohne Shell-Zugriff zu erlauben. Es gibt einige Unwegsamkeiten um einen normal betriebenen Benutzeraccount mit gitosis bzw. gitolite zu nutzen. Wir raten davon ab.

== zentral administriertes Gitolite ==
Sie können ebenfalls unsere zentrale Installation von Gitolite nutzen. Das Verfahren arbeitet ebenfalls über SSH-Keys.

Im Webinterface finden Sie unter "Benutzeraccounts" den Unter-Punkt "GIT-Zugänge". Dort können Sie öffentliche SSH-Schlüssel hinterlegen und Repositories anlegen.

Jabber

2019-02-10T11:24:28Z

Hanno: /* Eigene Domain für Jabber freischalten */ Link korrigieren

Für unsere Benutzer bieten wir einen Jabber-Server an auf dem jeder Benutzer auch Jabber-Accounts unter seinen eigenen Domains betreiben kann.

=Was ist Jabber=

Jabber ist ein sog. ''Instant-Messaging-Dienst'', also ein Dienst über den man direkt mit anderen Benutzern in Kontakt treten kann. Ähnliche Techniken sind z.B. ICQ, YahooMessenger oder MSN. Im Gegensatz zu den genannten Techniken ist Jabber das einzige Verfahren, bei dem alle beteiligten Komponenten (Server-Programm, Client-Programm und Spezifikation der Übertragung) in einem offenen Prozess entwickelt wurden und als Freie Software zur Verfügung stehen. Das bedeutet, jeder kann einen Jabber-Server betreiben und ein geeignetes Jabber-Client-Programm ist für praktisch alle Plattformen verfügbar. Ein weiterer Vorteil ist, dass Jabber dezentral arbeitet. Das bedeutet, eine ''Jabber-ID'' besteht, genau wie eine E-Mail-Adresse, aus einem Benutzernamen und einer Domain. Wenn ein Benutzer unseres Servers eine Jabber-Nachricht an einen Benutzer eines anderen Servers schreiben möchte (zu erkennen an der Domain), dann wird diese von Server zu Server weitergeleitet.

=Jabber nutzen=

===Eigene Domain für Jabber freischalten===

Wenn Sie Jabber-Accounts mit der Endung ''schokokeks.org'' erstellen möchten oder keine eigene Domain bei schokokeks.org betreiben, dann können Sie diesen Schritt übersprigen.

Im [https://config.schokokeks.org Konfigurations-Webinterface] steht Ihnen im Menüpunkt ''Jabber'' die Funktion ''Eigene Domain für Jabber freischalten'' zur Verfügung. Dort können Sie jeweils eine Ihrer bisher noch nicht für Jabber verfügbaren Domains auswählen und für eine Freischaltung vormerken.
Leider muss der Jabber-Server für eine Änderung an der Domain-Liste vollständig neu gestartet werden. Da dies allen Benutzer einmal die Verbindung trennt, möchten wir diese Fälle auf ein Minimum reduzieren. Daher werden alle Änderungen an der Domainliste nachts gesammelt ausgeführt.

'''Ihre Domain steht also erst am darauffolgenden Tag für die Jabber-Nutzung zur Verfügung.'''

Kunden, die Ihre Domain mit einem externen DNS-Server verwalten, müssen Sie für die Jabber-Nutzung passende DNS-Einträge erstellen. Eine Anleitung dazu finden Sie [[Jabber/externe Domain|auf einer eigenen Wiki-Seite]].

===Account erstellen===

Sobald eine Domain für die Jabber-Nutzung freigeschaltet ist, können Sie ebenfalls im [https://config.schokokeks.org Konfigurations-Webinterface] im Menüpunkt ''Jabber'' eine Funktion zum erzeugen neuer Jabber-Accounts zur Verfügung. Eine Einrichtung neuer Accounts direkt aus einem Jabber-Client wird bei schokokeks.org nicht unterstützt.

Der Account wird wenige Minuten darauf im Jabber-Server aktiviert und kann dann benutzt werden.

===Verbindungseinstellungen===

Aus Sicherheitsgründen erlauben wir (wie bei allen Anmeldeverfahren) nur eine verschlüsselte Anmeldung. Alle Jabber-Programme müssen also '''SSL''' oder '''TLS''' benutzen, diese Einstellung muss eingeschaltet werden. Sollte Ihr Programm '''TLS''' beherrschen, ist dies zu bevorzugen.

Normalerweise sollte ein Jabber-Client die Adresse des Jabber-Servers über die entsprechenden DNS-Einträge herausfinden. Schlägt die Verbindung fehl, könnten Sie auch versuchen unseren Jabber-Server manuell festzulegen. Der Name ist ''zucker.schokokeks.org''.

=Probleme mit Transports=

Jabber bietet sogenannte Transports an, mit denen eine Verknüpfung mit Accounts anderer, proprietärer IM-Systeme (ICQ, AIM, MSN etc.) möglich ist. Da diese Systeme jedoch nicht dokumentiert sind und des öfteren ihr Protokoll unangekündigt wechseln, kann ein störungsfreies Funktionieren hier nicht garantiert werden.

Da inzwischen auch von einigen großen Anbietern Jabber genutzt wird (gmail, gmx), empfehlen wir, wenn immer möglich anderen Leuten die Nutzung von Jabber nahe zu legen.

=Clients=
Es gibt unterschiedliche [[Clients (Jabber)|Jabber-Clients]]. Zu folgenden gibt es hier im Wiki Anleitungen:

[[Pidgin]] (früher Gaim) - Einen Schokokeks Jabber Account unter Pidgin einrichten.

[[Gajim]] - Einen Schokokeks Jabber Account unter Gajim einrichten.

[[Miranda]] - Einen Schokokeks Jabber Account unter Miranda einrichten.

=Links=
* [http://de.wikipedia.org/wiki/Jabber Jabber bei der Wikipedia] Artikel zu Jabber mit Clientliste

[[Kategorie:Jabber]]

E-Mail/Anwendungsprogramme/Thunderbird

2019-02-10T11:20:33Z

Hanno: URLs fixen

[[Kategorie:E-Mail/Anwendungsprogramme|T]]

{{AlertBox
| title=Hinweis
| content=Die genannten Probleme sind (bis auf das Prüfen auf neue Nachrichten in allen Unterordnern) mit aktuellen Versionen von Thunderbird nicht mehr existent. Dieser Artikel soll für Nutzer von älteren Versionen erhalten bleiben, sollte aber für normale Benutzer nicht mehr interessant sein.
}}

Das E-Mail-Programm [https://www.thunderbird.net/en-US/ ''Thunderbird''] der [https://www.mozilla.com/ Mozilla Corporation] ist die beliebteste und bekanntest E-Mail-Software neben den (von uns ausdrücklich nicht empfohlenen!) Microsoft-Produkten. Leider gibt es bei der Konfiguration des Programms ein paar Stolpersteine wenn man alle Funktionen nutzen möchte, die es bei [https://schokokeks.org schokokeks.org] gibt. Dieser Artikel soll helfen, diese zu beheben.

=Versand=
===Die Fehlermeldung ''"relaying denied"'' tritt auf, wenn E-mails versendet werden sollen===
Dieses Problem besteht, weil wir Anmeldung mit Benutzernamen und Passwort grundsätzlich nur über verschlüsselte Verbindungen (TLS, SSL) erlauben. Thunderbird bietet zwar eine Einstellung "TLS, wenn verfügbar", diese Einstellung ist aber leider in der normalen Konfiguration abgeschaltet und es ist "kein SSL benutzen" aktiviert.

Diese Einstellung kann folgendermaßen geändert werden: Unter ''Extras'' -> ''Kontoeinstellungen'' (je nach Version auch ''Bearbeiten'' -> ''Kontoeinstellungen'') gibt es im linken Feld einen Eintrag ''Postausgangsserver (SMTP)'' (oder ähnlich). Dort muss (je nach eingerichteten Konten direkt oder über ''Erweitert..'') eine der übrigen Optionen (Empfehlung: ''TLS'') aktiviert werden. Ob letzlich SSL oder TLS benutzt wird, ist egal, unser Server akzeptiert beides.

=IMAP=
===Es erscheinen nicht alle IMAP-Ordner in der Ordnerliste===
Dieses Problem ist sporadisch bei manchen Benutzern aufgetreten, konnte aber bisher immer durch nochmaliges Abrufen der Ordnerliste (Rechtsklick auf die Wurzel des Kontos -> ''Abonnieren...'' -> ''Abrufen'', danach Auf- und Zuklappen der Ordner-Struktur und ggf. Beenden und Neustarten der Anwendung) behoben werden.

===Es werden nicht alle Ordner eines IMAP-Kontos auf den Eingang neuer Nachrichten geprüft===
Wenn die Nachrichten bereits auf dem Server (z.B. durch procmail) in Unterordner innerhalb eines IMAP-Kontos einsortiert werden, so zeigt Thunderbird diese neuen Nachrichten nicht an wenn das Konto auf neue Nachrichten geprüft wird.

Es gibt eine (allerdings verborgene) Einstellung dafür, die Thunderbird mitteilt, dass er alle Ordner durchsuchen soll. Diese Option heißt '''mail.check_all_imap_folders_for_new''' und muss auf '''true''' gesetzt werden.
Dazu muss bei älteren Thunderbird-Versionen eine Zeile in der Konfigurationsdatei eingetragen werden, bei neueren Versionen (ab 1.5) kann diese Einstellung durch die ''about:config''-Schnittstelle geändert werden. Mehr Informationen gibt es z.B. unter http://www.mozilla.org/support/thunderbird/tips#beh_downloadstartup.

===Nachrichten verschwinden manchmal===
Wenn auch selten, so ist es schon passiert, dass Thunderbird E-Mails beim Verschieben in einen anderen Ordner verliert und man diese nicht mehr finden kann. Ein eventuell benutztes anderes E-Mail-Programm findet die Nachrichten ohne Probleme, nur Thunderbird zeigt sie nicht mehr an.

Eine wirklich gute Lösung sowie eine Schilderung, was man tun muss um diesen Fall gezielt zu provozieren fehlt auch uns noch. Bisher ließ sich das Problem lösen, indem man die Nachricht mit "Bordmitteln" auf dem Server sucht, also innerhalb der Mailbox im Verzeichnis /cur/ die Datei ausfindig macht, die die gesuchte Nachricht enthält. Dann wird diese Nachricht einfach mittels ''mv'' von /cur/ nach /new/ verschoben (ohne den Dateiname zu verändern!). Beim nächsten Abfragen des betreffenden Ordners findet Thunderbird dann die vermisste Nachricht.

Wiki/Webanwendungen aufräumen

2018-06-24T19:03:59Z

Hanno:

Wenn man PHP-Webanwendungen aktualisiert kopiert man häufig die Dateien der neuen Version über die Ältere. Dabei bleiben manchmal Dateien der alten Version übrig, die überflüssig sind, Platz wegnehmen und möglicherweise Sicherheitsrisiken darstellen.

Mit einigen praktischen Shell-Befehlen lässt sich so etwas aufräumen.

Beispiel Anhand von phpMyAdmin:

comm -13 <(tar -tf /srv/download/phpMyAdmin-4.8.2-all-languages.tar.xz | sed -e 's:^[^/]*/:./:g' -e 's:/$::g' |sort -u) <(find ! -name "config.inc.php" | sort -u)

Dies zeigt eine Liste der Dateien, die im aktuellen Verzeichnis sind, aber nicht in phpMyAdmin-4.8.2-all-languages.tar.xz.

Manchmal möchte man auch einfach leere Verzeichnisse entfernen:

rmdir $(find -empty -type d)

Wiki/Webanwendungen aufräumen

2018-06-24T19:01:55Z

Hanno: Die Seite wurde neu angelegt: „Wenn man PHP-Webanwendungen aktualisiert kopiert man häufig die Dateien der neuen Version über die Ältere. Dabei bleiben manchmal Dateien der alten Version…“

Git

2018-06-01T14:59:44Z

Hanno:

{{Box
| title = Warning
| content = Diese Anleitung wurde von einem Kunden bereitgestellt. Wir empfehlen wenn dies möglich ist Gitolite nicht manuell zu installieren, sondern die von uns zentral verwaltete Instanz zu nutzen. Sie können Repositories und Accounts in unserem Konfigurationsinterface unter dem Punkt Benutzeraccounts / Git-Zugänge einrichten.
| image = Construction.png
| background = white
| border_color = red
| border_thickness = 2px
}}

= Git über SSH =

== Direkt im Benutzeraccount ==
Die einfachste Methode ohne besondere Konfiguration besteht darin, ein GIT-Repository in Ihrem Benutzeraccount anzulegen und per SSH darauf zuzugreifen. Der Zugriff erfolgt dann z.B. mittels
git remote add origin ssh://benutzer@zucker.schokokeks.org/~/git/my-repo.git
Diese Methode steuert den Zugriff nicht separat sondern erfordert eine SSH-Anmeldung um das Repository lesen und schreiben zu können. Ein Arbeiten mit mehreren Entwicklern ist damit nicht empfehlenswert.

== Gitosis / Gitolite ==
Auf unseren Servern ist Gitolite bzw. Gitosis intalliert und kann von jedem Benutzer in seinem eigenen Home-Verzeichnis benutzt werden.

Bei diesem Verfahren authentifizieren sich die Entwickler per SSH-Key, somit kann einem Entwickler Zugriff auf ein Repository eingeräumt werden ohne Shell-Zugriff zu erlauben. Es gibt einige Unwegsamkeiten um einen normal betriebenen Benutzeraccount mit gitosis bzw. gitolite zu nutzen. Wir raten davon ab.

== zentral administriertes Gitolite ==
Sie können ebenfalls unsere zentrale Installation von Gitolite nutzen. Das Verfahren arbeitet ebenfalls über SSH-Keys.

Im Webinterface finden Sie unter "Benutzeraccounts" den Unter-Punkt "GIT-Zugänge". Dort können Sie öffentliche SSH-Schlüssel hinterlegen und Repositories anlegen.

SSL-Zertifikat

2016-10-26T15:28:48Z

Hanno: korrekte überschriften

Um Seiten verschlüsselt übertragen zu können, benötigt man ein TLS-Zertifikat. TLS ist der Nachfolger von SSL. Das Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.

Sie können bei schokokeks.org entweder ein eigenes Zertifikat eintragen oder ein Zertifikat von Let's Encrypt automatisch erstellen lassen.

== Zertifizierungsstellen ==

==Let's Encrypt==

Seit 2015 gibt es eine Zertifizierungsstelle, die die kostenlose und automatisierte Ausstellung von Zertifikaten erlaubt: [https://letsencrypt.org/ Let's Encrypt].

Als Kunde von schokokeks.org können Sie Zertifikate von Let's Encrypt automatisiert erstellen lassen. Dabei muss lediglich im entsprechenden Webhost "Automatische Zertifikatsverwaltung mit Let's Encrypt" ausgewählt werden.

Aus heutiger Sicht gibt es in aller Regel keinen Grund mehr, auf kostenpflichtige Zertifikate zu setzen.

==Extended Validation (EV) und Organization Validation (OV)==

Einige Zertifizierungsstellen bieten Zertifikate mit Extended Validation (EV) oder Organization Validation (OV) an. Diese sind deutlich teurer, haben aber keinerlei technische Vorteile. EV-Zertifikate führen dazu, dass ein Firmenname in grün in der URL-Leiste angezeigt wird. Mehr Sicherheit bieten diese Zertifikate jedoch nicht, die Verschlüsselungstechnologie bleibt die selbe.

Wir raten davon ab, überteuerte EV- oder OV-Zertifikate zu kaufen.

==CAcert.org==

Früher hatten wir die Community-Zertifizierungsstelle CAcert.org unterstütz. Inzwischen raten wir aber ausdrücklich von der Nutzung von CAcert ab, da diese Zertifikate von gängigen Browsern nicht akzeptiert werden. Besucher von Webseiten erhalten daher verwirrende und für sie oft unverständliche Fehlermeldungen.

CAcert war einst ein Versuch, eine kostenlose Zertifizierungsstelle zu schaffen. Allerdings gelang es CAcert nie, von den Browserherstellern akzeptiert zu werden. Ein dafür notwendiger Audit wurde nie durchgeführt. Durch die Gründung von Let's Encrypt ist CAcert weitestgehend obsolet.

== StartSSL und WoSign ==

Die Firma StartCOM bietet mit dem Produkt [https://www.startssl.com/ StartSSL] kostenlose SSL-Zertifikate. Zertifikate von StartSSL werden von fast allen aktuellen Browsern direkt akzeptiert.

Um die Firma StartCOM gab es zuletzt jedoch einigen Wirbel und es ist unklar, ob die StartSSL-Zertifikate in Zukunft noch akzeptiert werden. Wir nutzen zwar selbst noch einige Zertifikate von StartSSL, wir werden diese jedoch mittelfristig durch Let's Encrypt-Zertifikate ersetzen.

[[Kategorie:SSL]]

SSL-Zertifikat

2016-10-09T20:06:51Z

Hanno: http zu https

Um Seiten verschlüsselt übertragen zu können, benötigt man ein TLS-Zertifikat. TLS ist der Nachfolger von SSL. Das Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.

Sie können bei schokokeks.org entweder ein eigenes Zertifikat eintragen oder ein Zertifikat von Let's Encrypt automatisch erstellen lassen.

== Zertifizierungsstellen ==

==Let's Encrypt==

Seit 2015 gibt es eine Zertifizierungsstelle, die die kostenlose und automatisierte Ausstellung von Zertifikaten erlaubt: [https://letsencrypt.org/ Let's Encrypt].

Als Kunde von schokokeks.org können Sie Zertifikate von Let's Encrypt automatisiert erstellen lassen. Dabei muss lediglich im entsprechenden Webhost "Automatische Zertifikatsverwaltung mit Let's Encrypt" ausgewählt werden.

Aus heutiger Sicht gibt es in aller Regel keinen Grund mehr, auf kostenpflichtige Zertifikate zu setzen.

==Extended Validation (EV) und Organization Validation (OV)==

Einige Zertifizierungsstellen bieten Zertifikate mit Extended Validation (EV) oder Organization Validation (OV) an. Diese sind deutlich teurer, haben aber keinerlei technische Vorteile. EV-Zertifikate führen dazu, dass ein Firmenname in grün in der URL-Leiste angezeigt wird. Mehr Sicherheit bieten diese Zertifikate jedoch nicht, die Verschlüsselungstechnologie bleibt die selbe.

Wir raten davon ab, überteuerte EV- oder OV-Zertifikate zu kaufen.

==CAcert.org==

Früher hatten wir die Community-Zertifizierungsstelle CAcert.org unterstütz. Inzwischen raten wir aber ausdrücklich von der Nutzung von CAcert ab, da diese Zertifikate von gängigen Browsern nicht akzeptiert werden. Besucher von Webseiten erhalten daher verwirrende und für sie oft unverständliche Fehlermeldungen.

CAcert war einst ein Versuch, eine kostenlose Zertifizierungsstelle zu schaffen. Allerdings gelang es CAcert nie, von den Browserherstellern akzeptiert zu werden. Ein dafür notwendiger Audit wurde nie durchgeführt. Durch die Gründung von Let's Encrypt ist CAcert weitestgehend obsolet.

=== StartSSL und WoSign ===

Die Firma StartCOM bietet mit dem Produkt [https://www.startssl.com/ StartSSL] kostenlose SSL-Zertifikate. Zertifikate von StartSSL werden von fast allen aktuellen Browsern direkt akzeptiert.

Um die Firma StartCOM gab es zuletzt jedoch einigen Wirbel und es ist unklar, ob die StartSSL-Zertifikate in Zukunft noch akzeptiert werden. Wir nutzen zwar selbst noch einige Zertifikate von StartSSL, wir werden diese jedoch mittelfristig durch Let's Encrypt-Zertifikate ersetzen.

[[Kategorie:SSL]]

SSL-Zertifikat

2016-10-09T20:06:20Z

Hanno: veraltete infos weg, neue infos

Um Seiten verschlüsselt übertragen zu können, benötigt man ein TLS-Zertifikat. TLS ist der Nachfolger von SSL. Das Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.

Sie können bei schokokeks.org entweder ein eigenes Zertifikat eintragen oder ein Zertifikat von Let's Encrypt automatisch erstellen lassen.

== Zertifizierungsstellen ==

==Let's Encrypt==

Seit 2015 gibt es eine Zertifizierungsstelle, die die kostenlose und automatisierte Ausstellung von Zertifikaten erlaubt: [https://letsencrypt.org/ Let's Encrypt].

Als Kunde von schokokeks.org können Sie Zertifikate von Let's Encrypt automatisiert erstellen lassen. Dabei muss lediglich im entsprechenden Webhost "Automatische Zertifikatsverwaltung mit Let's Encrypt" ausgewählt werden.

Aus heutiger Sicht gibt es in aller Regel keinen Grund mehr, auf kostenpflichtige Zertifikate zu setzen.

==Extended Validation (EV) und Organization Validation (OV)==

Einige Zertifizierungsstellen bieten Zertifikate mit Extended Validation (EV) oder Organization Validation (OV) an. Diese sind deutlich teurer, haben aber keinerlei technische Vorteile. EV-Zertifikate führen dazu, dass ein Firmenname in grün in der URL-Leiste angezeigt wird. Mehr Sicherheit bieten diese Zertifikate jedoch nicht, die Verschlüsselungstechnologie bleibt die selbe.

Wir raten davon ab, überteuerte EV- oder OV-Zertifikate zu kaufen.

==CAcert.org==

Früher hatten wir die Community-Zertifizierungsstelle CAcert.org unterstütz. Inzwischen raten wir aber ausdrücklich von der Nutzung von CAcert ab, da diese Zertifikate von gängigen Browsern nicht akzeptiert werden. Besucher von Webseiten erhalten daher verwirrende und für sie oft unverständliche Fehlermeldungen.

CAcert war einst ein Versuch, eine kostenlose Zertifizierungsstelle zu schaffen. Allerdings gelang es CAcert nie, von den Browserherstellern akzeptiert zu werden. Ein dafür notwendiger Audit wurde nie durchgeführt. Durch die Gründung von Let's Encrypt ist CAcert weitestgehend obsolet.

=== StartSSL und WoSign ===

Die Firma StartCOM bietet mit dem Produkt [http://www.startssl.com/ StartSSL] kostenlose SSL-Zertifikate. Zertifikate von StartSSL werden von fast allen aktuellen Browsern direkt akzeptiert.

Um die Firma StartCOM gab es zuletzt jedoch einigen Wirbel und es ist unklar, ob die StartSSL-Zertifikate in Zukunft noch akzeptiert werden. Wir nutzen zwar selbst noch einige Zertifikate von StartSSL, wir werden diese jedoch mittelfristig durch Let's Encrypt-Zertifikate ersetzen.

[[Kategorie:SSL]]

FAQ

2016-10-09T19:47:56Z

Hanno: http zu https

Wir setzen stark auf die Kommunikation zwischen Betreibern und Kunden. Daher freuen wir uns immer, wenn Sie sich bei Fragen und Problemen direkt an uns wenden.

Einige Fragen treten jedoch immer wieder auf und lassen sich hier allgemeingültig beantworten.

=Allgemein=

====Was muss ich machen um einen Account zu erhalten?====

Um einen Account zu den [https://schokokeks.org/webhosting regulären Konditionen] zu erhalten, schreiben Sie uns einfach einen entsprechenden Auftrag per [mailto:root@schokokeks.org E-Mail]. Sollten Sie sich schon entschieden haben, brauchen wir folgende Informationen von Ihnen:
* Den gewünschten Benutzernamen für Ihren Account (ohne Sonderzeichen, nur bestehend aus Kleinbuchstaben und evtl. Zahlen).
* Die Adresse des Rechnungsempfängers.
* Sofern Sie Bankabbuchung als Zahlungsart wünschen, Ihre Bankverbindung.
* Sofern vorhanden: Einen öffentlichen PGP-Schlüssel. Dann werden unsere Mails (zumindest die meisten) und die Rechnungen verschlüsselt übertragen.

====Wie werden die Rechnungen zugestellt?====
====Kann ich meine Rechnungen per Post erhalten?====
====Sind die E-Mail-Rechnungen mit einer qualifizierten digitalen Signatur versehen?====
Unsere Rechnungen werden (ohne weitere Vereinbarung) per E-Mail zugestellt und können zudem im Webinterface heruntergeladen werden. Die E-Mails sind mit einer PGP-Signatur versehen.

Mittlerweile sind auch digital versandte Rechnungen ohne qualifizierte digitale Signatur zum Vorsteuerabzug zugelassen und damit einer Papierrechnung gleichwertig.
Papier-Rechnungen per Post können wir gegen Aufpreis versenden.

=Domains=

====Wie viele Domains enthält die Grundgebühr?====

Gar keine.

Der Grund ist einfach: Unser Angebot kann vollständig ohne Domains genutzt werden. Wir möchten also nicht die Kosten für eine oder mehrere Inklusivdomains auf alle Grundgebühren aufaddieren, obwohl manche Kunden gar keine Domain möchten.

====Kann ich meinen Account auch ohne Domain verwenden?====

Ja.

Wir stellen jedem Benutzer eine Subdomain der Form ''benutzername''.schokokeks.net zur Verfügung, unter der per Webinterface beliebig viele eigene Subdomains erstellt werden können.
Für den E-Mail-Verkehr bekommt jeder Benutzer eine Adresse der Form ''benutzername''@schokokeks.org. Damit sind auch automatisch beliebig viele Adressen in der Form ''benutzername''-erweiterung@schokokeks.org nutzbar.

====Was kosten Domains?====

siehe: https://schokokeks.org/webhosting

====Wie lange dauert die Registrierung einer Domain?====

Eine Domain-Registrierung läuft technisch in der Regel innerhalb weniger Minuten durch. Bei zeitkritischen Registrierungen sollten Sie uns per Jabber oder Telefon informieren, da wir die Registrierung manuell durchführen müssen.

Nach der Registrierung ist die Domain sofort für Sie reserviert und kann nicht mehr von Dritten weggenommen werden. Bis eine registrierte Domain im Internet nutzbar wird, vergehen allerdings mehrere Stunden, bedingt durch die Aktualisierungen im DNS-System.

====Wie lange dauert der Umzug einer Domain?====

Technisch dauert der Umzug genau so lang wie eine Neuregistrierung. Allerdings ist es notwendig, dass der bisherige Provider diesem Umzug zwischendurch zustimmt. Oft dauert diese Zustimmung ein oder zwei Tage.

====Wie läuft ein Domain-Umzug ab?====

Beim Umzug einer Domain müssen sie zuerst Ihren bisherigen Provider informieren. Meist geschieht dies durch Kündigung der Domain mit dem Vermerk '''KK''' bzw. '''Transfer'''. Kündigen Sie auf keinen Fall die Domain zur Löschung, dabei kann die Domain verloren gehen.

Wenn Ihr bisheriger Provider die Kündigung bzw. Transfer-Freigabe der Domain bestätigt, teilt er Ihnen einen so genannten Auth-Code mit, den wir wiederum benötigen um den Transfer zu starten.

Detailliertere Informationen zu Domain-Umzügen haben wir auf einer Extra-Seite beschrieben: [[Domain-Umzug]]

====Warum sehe ich einen Fehler 404 wenn ich meine neue Domain aufrufe?====

Sobald eine Domain in unserem System eingetragen ist, kann diese über unser [https://config.schokokeks.org/ Webinterface] verwaltet werden. Wir nehmen '''keine''' Standard-Konfiguration vor, da dies unerwünschte Effekte haben kann.

Sie können mit einfachen Mitteln einen passenden Eintrag für die Domain erstellen oder die Domain als Alias zu einer anderen Domain einrichten.

Vergessen sie nicht, ggf. den im Webinterface ausgewählten Ordner auch zu erstellen. Sollten Sie keinen eigenen Ordner angegeben haben, muss das Verzeichnis '''/home/''benutzername''/websites/''domainname''/htdocs''' existieren.

====Warum sehe ich einen Fehler 403 wenn ich meine neue Domain aufrufe?====

Wenn Sie Ihre Domain in unserem Webinterface eingerichtet haben und den passenden Ordner erstellt haben, kann der Fehler 403 zwei gängige Ursachen haben:
# Sie haben keine Daten hinterlegt. In diesem Fall würde der Server gerne ein ''Directory Listing'' machen, also alle vorhandenen Dateien anzeigen. Dies ist aber aus Sicherheitsgründen deaktiviert (bis Sie es manuell einschalten).
# Eventuell haben Sie beim Anlegen des Verzeichnisses irgendwelche Dateirechte verändert. Es muss gewährleistet sein, dass der Benutzer ''apache'' Zugriff auf dieses Verzeichnis inklusive aller Zwischenebenen erhält.

=Benutzeraccounts=

====Wie lange dauert die Einrichtung eines Benutzeraccounts?====

In der Regel wird der Benutzeraccount gleichzeitig mit dem Kunden-Account in kürzester Zeit angelegt. Nach dem Anlegen wird zur Inbetriebnahme eine automatische E-Mail verschickt.

====Kann ich mehrere Benutzeraccounts bekommen?====

Unter Umständen schon. Dies würden wir gerne persönlich mit Ihnen klären.

====Kann ich auf meine Daten auch per FTP zugreifen?====

Ja, wenn Sie dies explizit einschalten. Im Konfigurations-Webinterface unter "FTP-Zugriff" können Sie sowohl festlegen ob Ihr normaler Zugang per FTP erreichbar sein soll als auch weitere FTP-Konten erstellen, die auf konkrete Unterverzeichnisse Zugriff erhalten.

Mit SFTP (FTP über SSH) steht eine in den Funktionen gleichwertige Alternative bereit, bei der Verschlüsselung durch das SSH-Protokoll vollständig vorgesehen ist. Die FTP-Programme, die vollständig verschlüsseltes FTP ("FTPES") können, sind meist auch in der Lage, sich per SFTP zu verbinden.

siehe auch: [[SSH, SFTP und FTP]]

====Wie viel meines Speicherplatzes steht für MySQL-Datenbank und E-Mail zur Verfügung?====

Der Speicherplatz aller Ihrer Daten (normale Dateien, E-Mails, MySQL-Datenbanken) wird addiert und ergibt den verbrauchten Speicherplatz.

====Kann ich in meinem SSH-Zugang auch Programme dauerhaft laufen lassen?====

Bedingt ja.

Es besteht die Möglichkeit, z.B. mittels ''screen'' Programme zu starten, die nach dem SSH-logout weiter laufen. Damit kann z.B. ein IRC-Client, E-Mail-Programm oder ähnliches dauerhaft laufen.

Wir erwarten jedoch, dass Sie mit dieser Funktion nur Client-Programme nutzen, die die Belastung des Systems nicht signifikant erhöhen. Finden wir einen Dienst oder ein Programm, das längere Zeit viele Ressourcen bindet, behalten wir uns vor, dieses zu beenden. Sollten Sie einen Server-Dienst mit dieser Funktion starten wollen, möchten wir dies gerne explizit vorher wissen und behalten uns ein Veto vor.

====Kann ich eigene Programme in meinem Home-Verzeichnis kompilieren bzw. kompilierte Programme hochladen?====

Bedingt ja.

Es stehen Ihnen alle Tools zur Verfügung, die zum Kompilieren aller gängigen Programmiersprachen nötig sind. Für die Verwendung eigener Programme soll jedoch der selbe Grundsatz gelten wie im vorangegangenen Abschnitt. Wir möchten über alle Programme informiert werden, die Server-Dienste jeglicher Form bereitstellen und behalten uns ein Veto vor. Bei Client-Programmen erwarten wir, dass diese nicht längerfristig eine nennenswerte System-Auslastung erzeugen.

Erste Schritte

2016-10-09T19:47:16Z

Hanno: http links zu https, empfehlungen zu Jabber-Programmen aktualisiert

Da unsere Accounts dem Besitzer sehr viel Freiraum und Konfigurationsmöglichkeiten gewähren, gibt es am Anfang oft ähnliche Fragen, die neue Benutzer einfach stellen müssen. Dazu gibt es gelegentliche Tipps, die die Arbeit auf schokokeks.org gleich viel angenehmer machen.

== Keine Panik! ==

Hosting bei schokokeks.org funktioniert durch unseren Schwerpunkt auf Sicherheit teilweise etwas anders als Sie dies vielleicht von anderen Hostern gewohnt sind.

Wenn Sie Fragen haben, fragen Sie uns bitte (am besten per [mailto:root@schokokeks.org E-Mail]). Auch wenn Sie mehrmals nachfragen müssen bis alles klar ist, haben Sie bitte kein schlechtes Gewissen. Wir helfen gerne!

==Webinterface==

Für die meisten Einstellungen können Sie unser Webinterface benutzen. Auf der Seite https://config.schokokeks.org/ können Sie sich mit den Zugangsdaten anmelden, die Sie in Ihrer Willkommensnachricht finden.

==Dateizugriff==

Um Ihre Website zu veröffentlichen, müssen Sie Dateien hochladen. Wie Sie dabei vorgehen, erfahren Sie unter '''[[Dateizugriff]]''' in diesem Wiki.

==Eigene Domains / Subdomains==

Jeder Benutzer kann sowohl eventuelle eigene Domains als auch eine Subdomain der Form '''''benutzername''.schokokeks.net''' für den Webserver nutzen.

Bevor der Webserver Ihre Domain oder Subdomain beachtet, muss diese aber im [https://config.schokokeks.org/ Webinterface] unter ''Webserver'' mit den von Ihnen gewünschten Einstellungen aktiviert werden.

== Webmail ==

Wir bieten unseren Kunden ein Webmail-System, die Zugangsdaten sind identisch mit denen für POP3/IMAP. Erreichbar ist es unter https://webmail.schokokeks.org/.

==MySQL-Datenbanken==

Zur Erstellung von MySQL-Zugängen und -Datenbanken bieten wir eine Web-Oberfläche an. Unter https://config.schokokeks.org/ können Sie sich mit dem normalen Benutzernamen und Ihrem Passwort anmelden und dort unter dem Punkt "MySQL" Datenbanken und Zugänge verwalten.

Zur Verwaltung Ihrer MySQL-Datenbanken bieten wir Ihnen das zweifellos bekannteste Werkzeug »phpMyAdmin« an. Auf jedem Server gibt es eine zentral verwaltete und regelmäßig aktualisierte Version, diese ist im Webinterface bei den Datenbanken verlinkt (da verschiedene Datenbanken theoretisch auf verschiedenen Servern sein könnten). Wir bitten darum, von einer zusätzlichen Installation unterhalb einer eigenen Domain abzusehen, wenn kein bestimmter Grund vorliegt.

In Ihren eigenen Anwendungen nutzen Sie bitte ganz traditionell den Servername "localhost" zur Datenbankverbindung.

==Backup==

'''Bitte sichern Sie Ihre Daten regelmäßig.'''

Mit ihrem Benutzeraccount können Sie vielseitige und mächtige Backup-Werkzeuge nutzen. Z.B. erlaubt Ihnen ''rsync'' die automatische Spiegelung eines Verzeichnisses mit einer Technik, bei der nur Änderungen übertragen werden. Mittels ''duplicity'' können ähnliche Änderungs-Blöcke gleich verschlüsselt auf einen entfernten Speicherplatz transferiert werden. Die Standard-Werkzeuge ''tar'' und ''scp'' sind natürlich ebenfalls vorhanden.

Wir sichern Ihre Daten mehrmals die Woche in unserem Backup. Dort können wir i.d.R. bis zu 3 Wochen zurück reichende alte Versionen Ihrer Daten wieder herstellen. Beachten Sie bitte, dass wir auf dieses Backup keinerlei Gewähr übernehmen können. Sichern Sie wichtige Daten stets selbst und prüfen Sie regelmäßig die Integrität Ihrer Sicherung.

==Dokumentation und Hilfestellungen==

Unser zentrales Instrument um unseren Benutzern Anleitungen und Hilfestellungen zu geben ist dieses Wiki. Um »Betriebsblindheit« zu vermeiden und da jeder Benutzer gelegentlich an anderer Stelle stolpert, möchten wir darauf hinweisen, dass hier jeder Benutzer gerne Änderungen vornehmen darf. Auch neue Seiten dürfen gerne angelegt werden, wenn sich daraus für die Dokumentation ein Mehrwert ergibt.

Da die Startseite schreibgeschützt ist, muss der entsprechende Link nach Sichtung durch uns hinzugefügt werden. Wir freuen und über eine entsprechende E-Mail. :)

Bitte beachten Sie auch unsere [[FAQ|Häufig gestellten Fragen]].

==Fehler bitte melden==

Fehler sind bei einem komplexen System nie auszuschließen. Wenn Sie eine Fehlfunktion bemerken, bitten wir um einen entsprechenden Hinweis. Wir kümmern uns dann schnellstmöglich darum.

==Informationen / Ankündigungen==

Im Webinterface unter dem Punkt "Newsletter" können Sie festlegen, ob und wie Sie unsere Newsletter empfangen möchten. Die bereits verschickten Newsletter der letzten Zeit finden Sie dort auch nochmals zum Nachlesen.

Es gibt ebenfalls ein [https://schokokeks.org/blog/ Weblog] in dem die Admins über Neuerungen und Erfahrungen berichten.

Im Bedarfsfall, wenn es eine Störung oder Beeinträchtigungen gibt, werden wir eventuell nicht per E-Mail informieren können, da wir damit rechnen müssen, dass die meisten Benutzer diese E-Mails dann nicht mehr rechtzeitig lesen können.
Für derartige Fälle haben wir eine Status-Seite eingerichtet, die unabhängig von unserer sonstigen Infrastruktur betrieben wird und daher auch bei Ausfällen noch zu erreichen ist. Diese Status-Seite ist unter https://status.schokokeks.org/ zu erreichen. Dort sehen Sie jederzeit einen automatisch ermittelten Status unserer Anlagen.

==Jabber-Server==

Wir betreiben ebenfalls einen Jabber-Server. Jabber ist ein Instant-Messaging-System ähnlich zu ICQ oder AIM. Der Unterschied ist, dass bei Jabber jeder einen Server betreiben kann und die Jabber-IDs wie eine E-Mail-Adresse aufgebaut sind. So wie jeder eine E-Mail-Adresse unter seiner Domain selbst verwalten kann, ist dies auch bei Jabber möglich.

So kann jeder auf Wunsch eine Jabber-Adresse mit seiner eigenen Domain als Endung benutzen.

Wir laden alle unsere Benutzer dazu ein, sich bei uns einen Account (im Zweifel mit der Endung ''@schokokeks.org'') auf unserem Jabber-Server anzulegen. In der Kontaktliste sind dann automatisch die Administratoren enthalten. Falls kleinere Probleme zu lösen sind, so kann das dann auch über Jabber geschehen.
Besuchen sie zum Einrichten eines Jabber-Accounts bitte ebenfalls Ihr Kunden-Webinterface unter [https://config.schokokeks.org/ https://config.schokokeks.org].

Eine ausführliche Seite zum Thema [[Jabber]] gibt es auch hier im Wiki.

Um Jabber nutzen zu können, braucht man ein Programm welches Jabber versteht. Die meisten »Multi-Protokoll-Messenger« wie Miranda, Trillian oder ähnliche enthalten diese Unterstützung oder bieten ein entsprechendes Plugin an.
Falls ein solcher Client noch nicht vorhanden ist, seien die Programme [https://gajim.org/ Gajim] (Windows, Linux) oder [https://conversations.im/ Conversations] (Android) empfohlen.

==Passwörter ändern==

Um Ihre Zugänge so sicher wie möglich zu halten, sollten Sie Ihre Passwörter ab und zu ändern.

Die Passwörter für Benutzer-Zugang und E-Mail-Accounts können Sie über unser Webinterface ändern.

Melden Sie sich dazu bitte unter https://config.schokokeks.org/ an und wählen Sie den Punkt ''Passwort ändern''. Dies funktioniert nicht nur für den Account-Verwalter sondern jeder E-Mail-Benutzer kann sich mit seinen E-Mail-Zugangsdaten an diesem Webinterface anmelden und dort sein Passwort ändern.

Tipp: Mit den Programmen ''pwgen'' und ''makepasswd'' können Sie sich sichere Passwörter erzeugen lassen.

[[Category:Datenbanken]]

Webmail

2016-09-25T19:37:30Z

Hanno:

Mit einem Webmail-System können unsere Benutzer von einem beliebigen Internet-Zugang aus jederzeit auf ihre E-Mails zugreifen.

Wir bieten im Moment zwei Webmail-Systeme an, die Sie gerne auch im Wechsel nutzen können.

Beiden Systemen gemeinsam ist, dass intern mittels IMAP auf die Mailbox zugegriffen wird. Das bedeutet, Sie können sich mit allen Mailbox-Zugangsdaten anmelden, die Sie auch in Ihrem E-Mail-Programm zu Hause eintragen. Sofern Sie Ihre E-Mails zu Hause mit einem POP3-Programm abrufen, befinden sich nur die jeweils neu hinzugekommenen E-Mails auf dem Server. Nur diese können dann mit dem Webmail-System gelesen werden. Nutzen Sie zu Hause IMAP, so haben Sie mit dem Webmail-System Zugriff auf sämtliche Nachrichten in allen Unterordnern.

Alle von uns bereitsgestellten Webmail-Systeme erreichen Sie einheitlich unter [https://webmail.schokokeks.org webmail.schokokeks.org].

= SquirrelMail =

[https://squirrelmail.org/ SquirrelMail] ist ein sehr bekanntes Webmail-System mit einer großen Zahl an Plugins zur Erweiterung. Bei uns ist SquirrelMail schon seit Beginn an im Einsatz und hat sich als sehr belastbar und stabil erwiesen.

= RoundCube =

Wesentlich moderner tritt das Webmail-System [https://roundcube.net/ RoundCube] auf. Die Bedienung ist stark an das ''look & feel'' eines normalen Computer-Programms angelehnt und nicht so typisch für eine Web-Anwendung. Dafür wird ausgiebig von modernen Techniken wie JavaScript und AJAX Gebrauch gemacht.

Der offensichtliche Nachteil dieser Herangehensweise ist, dass es einen modernen und leistungsfähigen Browser benötigt. Manche unserer Kunden benutzen lieber einfache Browser, die nicht alle von RoundCube benötigten Technologien unterstützen.

Momentan ist die Zahl der für RoundCube erhältlichen Plugins noch sehr beschränkt. Die üblichen E-Mail-Funktionen sind jedoch im Basis-Paket enthalten und können schon jetzt uneingeschränkt benutzt werden.

MediaWiki:Sidebar

2016-09-22T05:46:44Z

Hanno:

* navigation
** mainpage|mainpage
** recentchanges-url|recentchanges
** Glossar|Glossar
** https://schokokeks.org/|schokokeks.org Hosting

Passwortschutz für Webseiten

2016-02-10T09:07:23Z

Hanno: /* Passwörter einrichten */

Wenn Sie eine Webseite (oder gleichermaßen auch nur ein Unterverzeichnis einer Webseite) durch Passwörter schützen wollen, können Sie das über die verbreitete '''.htaccess'''-Methode erreichen.

==Passwörter einrichten==
Je nach Anforderung kann eine zentrale Passwort-Datei für alle Ihre Webseiten oder mehrere unterschiedliche Passwort-Dateien sinnvoll sein. Beachten Sie bitte, dass der Webserver (System-Benutzer ''apache'') die Datei lesen muss und daher entsprechende Zugriffsrechte braucht.

Eine Passwort-Datei erstellen Sie z.B. mit dem System-Programm '''htpasswd'''.

Möchten Sie z.B. ein Passwort für den Benutzer ''bernd'' zentral in der Datei ''/home/bernd/websites/passwoerter'' hinterlegen, so benutzen Sie diesen Befehl:

htpasswd -B -c -s /home/bernd/websites/passwoerter bernd

Nach Aufruf des Kommandos werden Sie nach dem entsprechenden Passwort gefragt.

Später können Sie beliebig viele neue Benutzer-Passwörter hinzufügen, in dem Sie die Option ''-c'' weg lassen:

htpasswd -B -s /home/bernd/websites/passwoerter ''neuerbenutzer''

Der Parameter "-B" wählt das bcrypt-Verfahren zum Hashen des Passworts. Dieses Verfahren bietet eine höhere Sicherheit als das Standardverfahren, daher empfehlen wir, diesen Parameter zu nutzen.

==Verzeichnisse schützen==
Um mit diesen Passwörtern ein Verzeichnis zu schützen, brauchen Sie zusätzlich noch eine Datei mit dem Namen '''.htaccess''', die Sie genau dort speichern, wo der Schutz beginnen soll.

Legen Sie diese Datei z.B. nach ''~/websites/'', so sind alle Ihre Seiten auf einmal passwortgeschützt. Befindet sich diese Datei aber z.B. in ''/home/bernd/websites/bernd-wurst.de/htdocs/files'', so ist nur die Adresse http://bernd-wurst.de/files durch ein Passwort geschützt.

Der Inhalt der Datei sieht wie folgt aus:

AuthType Basic
AuthName "Der Zugriff ist Passwortgeschützt!"
AuthUserFile /home/bernd/websites/passwoerter
require valid-user

Dabei können Sie den Text hinter ''AuthName'' beliebig wählen. Der Pfad zur Passwort-Datei (bei AuthUserFile) muss exakt und mit vollständigem Pfad angegeben werden.

Gehackte Website

2015-11-25T13:28:39Z

Hanno:

Diese Seite erklärt, was eine gehackte Website ist, wie es dazu kommt und welche Auswirklungen das hat.

= Was ist eine gehackte Website? =

Böswillige Internetnutzer können manchmal über Sicherheitslücken in Webseiten die Kontrolle darüber erlangen. Das bedeutet beispielsweise, dass jemand anderes Inhalte oder Dateien von Ihrer Website verändern kann.

= Wie kommt es dazu? =

Heutige Websites werden meistens mit einem so genannten CMS ("content management system") betrieben. Dabei läuft auf dem Server ein Programm, das bei jedem Zugriff entscheidet, wer welche Inhalte abrufen möchte, diese Inhalte dann z.B. aus einer Datenbank ausliest und dem Besucher mitteilt. Durch eine Anmelde-Möglichkeit kann der Inhaber dann auch Inhalte verändern oder neue Einzelseiten erstellen. Bekannte CMS-Systeme sind etwa Drupal, Joomla oder Wordpress.

Im einfachsten Angriff wäre es denkbar, dass ein Dritter Ihr Anmelde-Passwort erraten oder abgreifen und damit selbst Inhalte verändern kann.

Diese Software eines CMS ist aber auch sehr komplex, so dass sich bei allen bekannten CMS immer wieder Programmierfehler zeigen. In manchen Fällen kann man unerwartete und eigentlich ungültige Daten zur Website senden, was dann z.B. einen Programmteil zum Absturz bringt und den Zugriff ohne Passwort freigibt. In anderen Fällen kann man etwa in einer Kommentarfunktion eine Datei hochladen, die ebenfalls unerwartete, präparierte Daten enthält. Die genaue Art des jeweiligen Fehlers ist jedes Mal unterschiedlich, aber es gibt grenzenlos viele Möglichkeiten.

Sobald ein Angreifer irgendwelche Dateien auf die Festplatte des Servers ablegen konnte, besteht die Gefahr, dass diese Dateien selbst als Teil des CMS behandelt werden und als Programmcode ausgeführt werden. In einem solchen Fall kann der Angreifer dann beliebige Befehle unter Ihrem Namen ausführen. Meistens ist dies kombiniert mit einer Funktion, diese Befehle von außen einzuspielen. Dies ist die häufigste Angriffsart.

= Welche Auswirkungen hat eine gehackte Website? =

Wenn ein Angreifer den Status erreicht hat, direkt auf dem Server beliebige Befehle unter Ihrem Namen auszuführen, gibt es meistens zwei Dinge, die daraufhin passieren:

# Es werden von dort aus andere Websites angegriffen. Da die Angriffe meist automatisch ablaufen, geschieht dies in hoher Geschwindigkeit. Wenn eine Website bei uns von einem solchen Hack betroffen ist, erhalten wir meistens Beschwerden von anderen Administratoren, dass von unseren Anlagen Hackerangriffe ausgeführt werden. Im Extremfall wird dann unser Server im Rechenzentrum vom Netz genommen um weitere Angriffe zu verhindern.
# Es wird Spam versendet. Nach wie vor ist das vorherrschende Ziel aus Sicht der Hacker der Versand von Massenmails, was der Angreifer als Dienstleistung verkauft. So können alleine in einer Stunde ca. 50.000 E-Mails versendet werden. Diese E-Mails werden dann von anderen Administratoren als Spam erkannt und wenn sich mehrere solcher Mails zu unserem Server zurück verfolgen lassen, dann wird die Mailannahme von unseren Anlagen komplett gesperrt. Es gibt im Internet so genannte "Black lists", also Listen von Servern die Spam-Mails versenden. Es duert meistens nur wenigen Minuten bis unsere Adressen auf einer solchen Liste erscheinen und dann werden plötzlich auch keinerlei normale Mails mehr zugestellt.

= Wie gehen wir damit um? =

Für uns und unsere Kunden ist es daher wichtig, bereits bei allerersten Anzeichen für eine gehackte Website einzugreifen. Ist eine Website betroffen, dann sperren wir umgehend den Zugriff au diese Website um weitere Aktivitäten zu verhindern.

Wir haben mehrere automatische Überwachungen, die einen solchen Fall erkennen können und uns bei Bedarf sofort alarmieren.

= Wie kann man dies vermeiden? =

In den meisten Fällen verschaffen sich Angreifer Zugriff über vorher bekannte Sicherheitsprobleme. Immer wenn eine neue Version einer CMS-Software erscheint, lässt sich sehr einfach nachprüfen, welche Änderungen von den Autoren vorgenommen wurden. Wurde ein Sicherheitsproblem behoben, dann lässt sich daraus ableiten, dass alle noch laufenden alten Versionen genau dieses Problem haben und damit angreifbar sind.

Die wirksamste Methode um einen Angriff zu verhindern ist also das Einspielen von Updates schnellstmöglich nach Erscheinen einer neuen Version des betreffenden CMS. Wir beobachten gelegentlich Angriffe, die schon wenige Stunden nach Freigabe einer neuen Version massenweise ausgeführt wurden.

Gehackte Website

2015-11-25T13:24:05Z

Hanno: /* Wie kommt es dazu? */

Diese Seite erklärt, was eine gehackte Website ist, wie es dazu kommt und welche Auswirklungen das hat.

= Was ist eine gehackte Website? =

Hacker sind Internet-Nutzer, die sich im Einzelfall oder auch massenweise mit entsprechender Software Kontrolle verschaffen über EDV-Anlagen, zu denen sie eigentlich keinen Zutritt haben sollten. Bezogen auf Websites bedeutet dies im Allgemeinen, dass jemand anderes Inhalte oder Dateien von Ihrer Website verändern konnte.

= Wie kommt es dazu? =

Heutige Websites werden meistens mit einem so genannten CMS ("content management system") betrieben. Dabei läuft auf dem Server ein Programm, das bei jedem Zugriff entscheidet, wer welche Inhalte abrufen möchte, diese Inhalte dann z.B. aus einer Datenbank ausliest und dem Besucher mitteilt. Durch eine Anmelde-Möglichkeit kann der Inhaber dann auch Inhalte verändern oder neue Einzelseiten erstellen. Bekannte CMS-Systeme sind etwa Drupal, Joomla oder Wordpress.

Im einfachsten Angriff wäre es denkbar, dass ein Dritter Ihr Anmelde-Passwort erraten oder abgreifen kann und damit selbst Inhalte verändern kann.

Diese Software eines CMS ist aber auch sehr komplex, so dass sich bei allen bekannten CMS immer wieder Programmierfehler zeigen. In manchen Fällen kann man unerwartete und eigentlich ungültige Daten zur Website senden, was dann z.B. einen Programmteil zum Absturz bringt und den Zugriff ohne Passwort freigibt. In anderen Fällen kann man etwa in einer Kommentarfunktion eine Datei hochladen, die ebenfalls unerwartete, präparierte Daten enthält. Die genaue Art des jeweiligen Fehlers ist jedes Mal unterschiedlich, aber es gibt grenzenlos viele Möglichkeiten.

Sobald ein Angreifer irgendwelche Dateien auf die Festplatte des Servers ablegen konnte, besteht die Gefahr, dass diese Dateien selbst als Teil des CMS behandelt werden und als Programmcode ausgeführt werden. In einem solchen Fall kann der Angreifer dann beliebige Befehle unter Ihrem Namen ausführen. Meistens ist dies kombiniert mit einer Funktion, diese Befehle von außen einzuspielen. Dies ist die häufigste Angriffsart.

= Welche Auswirkungen hat eine gehackte Website? =

Wenn ein Angreifer den Status erreicht hat, direkt auf dem Server beliebige Befehle unter Ihrem Namen auszuführen, gibt es meistens zwei Dinge, die daraufhin passieren:

# Es werden von dort aus andere Websites angegriffen. Da die Angriffe meist automatisch ablaufen, geschieht dies in hoher Geschwindigkeit. Wenn eine Website bei uns von einem solchen Hack betroffen ist, erhalten wir meistens Beschwerden von anderen Administratoren, dass von unseren Anlagen Hackerangriffe ausgeführt werden. Im Extremfall wird dann unser Server im Rechenzentrum vom Netz genommen um weitere Angriffe zu verhindern.
# Es wird Spam versendet. Nach wie vor ist das vorherrschende Ziel aus Sicht der Hacker der Versand von Massenmails, was der Hacker als Dienstleistung verkauft. So können alleine in einer Stunde ca. 50.000 E-Mails versendet werden. Diese E-Mails werden dann von anderen Administratoren als Spam erkannt und wenn sich mehrere solcher Mails zu unserem Server zurück verfolgen lassen, dann wird die Mailannahme von unseren Anlagen komplett gesperrt. Es gibt im Internet so genannte "Black lists", also Listen von Servern die Spam-Mails versenden. Es duert meistens nur wenigen Minuten bis unsere Adressen auf einer solchen Liste erscheinen und dann werden plötzlich auch keinerlei normale Mails mehr zugestellt.

= Wie gehen wir damit um? =

Für uns und unsere Kunden ist es daher wichtig, bereits bei allerersten Anzeichen für eine gehackte Website einzugreifen. Ist eine Website betroffen, dann sperren wir umgehend den Zugriff au diese Website um weitere Aktivitäten zu verhindern.

Wir haben mehrere automatische Überwachungen, die einen solchen Fall erkennen können und uns bei Bedarf sofort alarmieren.

= Wie kann man dies vermeiden? =

In den meisten Fällen verschaffen sich Angreifer Zugriff über vorher bekannte Sicherheitsprobleme. Immer wenn eine neue Version einer CMS-Software erscheint, lässt sich sehr einfach nachprüfen welche Änderungen von den Autoren vorgenommen wurden. Wurde ein Sicherheitsproblem behoben, dann lässt sich daraus ableiten, dass alle noch laufenden alten Versionen genau dieses Problem haben und damit angreifbar sind.

Die wirksamste Methode um einen Angriff zu verhindern ist also das Einspielen von Updates schnellstmöglich nach Erscheinen einer neuen Version des betreffenden CMS. Wir beobachten gelegentlich Angriffe, die schon wenige Stunden nach Freigabe einer neuen Version massenweise ausgeführt wurden.

E-Mail/Mailinglisten

2015-04-11T13:18:58Z

Hanno:

Eine [http://de.wikipedia.org/wiki/Mailingliste Mailingliste] ist eine Liste von E-Mail-Adressen, die unter einer einzigen Adresse zusammengefaßt werden. Eine an diese Adresse verschickte Mail wird automatisch an alle Mitglieder der Liste verteilt. Mailinglisten bieten dabei noch weitere Möglichkeiten wie zum Beispiel Moderation oder eine automatische An- und Abmeldung.

Wir stellen mehrere Programme bereit, mit denen Mailinglisten erstellt und verwaltet werden können.

== Mailman ==

Zum Verwalten der Mailinglisten (mit allem was dazu gehört) über eine Browser-Schnittstelle eignet sich [http://www.gnu.org/software/mailman/ Mailman].

Mailman hat leider '''KEINE''' Unterstützung für mehrere Domains, d.h. ihn interessiert es nicht, was hinter dem @ steht. Wir können gerne jede beliebige Subdomain dem Mailman zuordnen (meist "lists.foobar.de"), aber der Listenname (Teil vor dem @) muss trotzdem systemweit eindeutig sein. Daher bitte keine allzu allgemeinen Listennamen verwenden.

Eine Mailingliste können Sie im [https://config.schokokeks.org/go/mailman/lists Webinterface] selbst anlegen. Dabei wird ein Passwort für die Verwaltung der Liste automatisch erzeugt.

Es ist möglich, eigene Domains bzw. Subdomains in den Listennamen zu integrieren. Da so genutzte Domans bzw. Subdomains aber immer vollständig für Mailman zur Verfügung stehen müssen, können Sie nur vorab freigeschaltete Domains dazu benutzen. Die Admins können Ihnen die gewünschte Domain bzw. Subdomain einmalig einrichten, danach können Sie Mailinglisten damit benutzen.

Sollte man die Archivierung der E-Mails nicht benötigen kann dies über das Webinterface ausgeschalten werden. Ein Script prüft dies jede Nacht und löscht im Bedarfsfall das bereits vorhandene Archiv.

=== Probleme mit DMARC ===

Seit einigen Jahren setzen große Freemail-Provider wie Yahoo auf ein System namens DMARC, bei dem Mails signiert und die Signatur vom Empfänger geprüft wird. Klassische Mailinglisten sind mit DMARC inkompatibel.

Es gibt zwei Möglichkeiten, Mailinglisten DMARC-konform zu betreiben:

* Man schreibt die Absenderadresse um, [https://sys4.de/de/blog/2013/08/11/mailman-dmarc-konform-betreiben/ Anleitung]
* Man leitet Mails unverändert ohne angepasste Betreffzeile und ohne Footer weiter, [https://sys4.de/de/blog/2013/08/11/dkim-konforme-mailinglisten/ Anleitung]

Weitere Informationen findet man auch [http://wiki.list.org/DEV/DMARC im Wiki von Mailman].

== Courier / couriermlm ==

Alternativ kann man eine Mailingliste selber als Benutzer mit [[/couriermlm|couriermlm]] anlegen. Dazu muss die betreffende Domain für [[E-Mail/Manuelle Konfiguration|Manuelle Konfiguration]] eingerichtet sein.

[[Kategorie:E-Mail/Mailinglisten]]

Subversion

2014-10-04T18:40:46Z

Hanno: -B für (sehr sichere) bcrypt-passwörter

[[Category:Subversion]]
[[Category:Webserver]]
Subversion ist ein sog. Version-Kontrollsystem. Diese Systeme sind dazu gedacht, einen Datenbestand (meistens Programmcode oder Text-Dokumente) zu verwalten und Änderungen zu dokumentieren. Damit können z.B. mehrere Autoren an einem Programm schreiben und es ist jederzeit möglich, einzelne Änderungen zu verfolgen oder rückgängig zu machen.

Auch für HTML- oder PHP-Dateien ist Subversion sehr empfehlenswert.

=Funktionsweise=

Subversion arbeitet immer mit einem sog. ''Repository'' in dem das System seine Aufzeichnungen speichert und einer ''Working copy'', die den aktuellen Stand enthält und in der der Benutzer seine Änderungen direkt durchführt.

Allerdings gibt es verschiedene Möglichkeiten, wie das Subversion-Programm auf sein Repository zugreift.

==lokales Repository==

Im trivialen Fall ist das Repository einfach ein Verzeichnis auf der selben Festplatte. Dann muss der Benutzer, der Subversion aufruft nur Lese- und Schreibrechte in dem Verzeichnis haben und kann sofort mit Subversion arbeiten. Diese Variante ist nur zu empfehlen, wenn nur wenige (besser: nur ein) benutzer an immer dem selben Rechner arbeitet.

Diese Variante ist auf schokokeks.org zwar ohne weiteres nutzbar, wir empfehlen aufgrund der genannten Einschränkungen jedoch die Einrichtung eines Servers wie folgt...

==Subversion-Server==

Meistens ist es praktischer, einen zentralen Server zu haben, auf dem das Repository gespeichert ist. Es ist damit möglich von verschiedenen Computern mit verschiedenen Benutzern zu arbeiten und alle Änderungen trotzdem zentral zu erfassen.

Bei uns ist die Vorkehrung vorhanden um Subversion über [[WebDAV]] zu betreiben. Webdav erweitert das normale HTTP-Protokoll um eine direkte Upload-Fähigkeit und einige andere Techniken zur Datei-Manipulation. Das Subversion-Modul im Webserver sorgt nun einerseits dafür, dass das Subversion-Programm direkt mit dem Server kommunizieren kann und dort die Änderungen verwaltet werden, andererseits besteht aber zudem die Möglichkeit mit einem ganz normalen Browser auf den jeweils aktuellen Stand des Repositories zuzugreifen. Dieses Feature ist besonders interessant, wenn neben den Autoren der Daten auch Besucher einzelne Daten herunterladen können sollen (das ist natürlich konfigurierbar), denn diese brauchen dann keine weitere Software als einfach den Browser. Ob man für den Zugriff Benutzernamen und Passwort eingeben muss lässt sich frei konfigurieren.

Im folgenden werde ich technisch beschreiben, wie der Subversion-via-Webdav-Zugriff eingerichtet werden kann.

=Einrichtung des Webdav-Zugriffs=

Bitte lesen Sie zum Verständnis auch den Artikel zu [[WebDAV|WebDAV im allgemeinen]]. Es werden trotzdem alle Schritte hier nochmals erklärt.

==Vorbereitung==

Zuerst sollten Sie die passenden Pfade und Dateien in Ihrem Benutzeraccount erstellen.

===Pfade===

Um den Aufwand für beide Seiten minimal zu halten und Missverständnisse und Verwirrung zu minimieren, werden bei uns die Pfade nach untenstehendem Schema angenommen. Abweichende Konfigurationen sind technisch möglich, aber mit erheblichem Mehraufwand verbunden.

Hier in dieser Anleitung will der Benutzer ''bernd'' unter der Subdomain ''svn.bwurst.org'' ein Subversion-Repository betreiben. Wann immer die Pfade diese Teile enthalten, sollte das bei Ihnen durch den zu verwendenden Namen ersetzt werden.

===Vorbereitungen===

Als erster Schritt muss das Subversion-Unterverzeichnis im Benutzer-Home-Verzeichnis angelegt werden:

mkdir ~/subversion

Dort wird dann für die passende Subdomain ein Daten-Verzeichnis angelegt:

mkdir ~/subversion/svn.bwurst.org

Damit der Webserver dieses Verzeichnis benutzen kann, muss man ihm das '''x'''-Recht einräumen:

setfacl -m u:apache:x /home/bernd /home/bernd/subversion /home/bernd/subversion/svn.bwurst.org
(Hierbei ist wichtig, dass der Webserver auf ''alle'' Zwischen-Ebenen mindestens ein '''x'''-Recht bekommt um das Verzeichnis zu durchqueren.)

Der Subversion-Server arbeitet nach dem Prinzip, dass man ein Verzeichnis vorgibt, in dem sich dann mehrere Repositories befinden können. Zusätzlich werden noch zwei Dateien gebraucht, die ebenfalls zum Subversion-System der betreffenden Subdomain gehören, jedoch nicht in diesem repositories-Verzeichnis sein sollten:

mkdir ~/subversion/svn.bwurst.org/repositories
touch ~/subversion/svn.bwurst.org/acl
touch ~/subversion/svn.bwurst.org/users

Für diese zwei Dateien und das Repositories-Verzeichnis müssen wir ebenfalls die Rechte verteilen:

setfacl -m u:apache:rx ~/subversion/svn.bwurst.org/repositories
setfacl -m u:apache:r ~/subversion/svn.bwurst.org/acl
setfacl -m u:apache:r ~/subversion/svn.bwurst.org/users

Damit der Apache in allen neuen Repositories automatisch das Recht erhält, beliebig zu lesen und zu schreiben, setzen wir noch das hier:

setfacl -m default:u:apache:rwx ~/subversion/svn.bwurst.org/repositories

Zudem setzen wir das folgende, damit der Benutzer selbst die Dateien wieder verändern und z.B. löschen kann (''bernd'' bitte durch den eigenen Benutzernamen ersetzen):

setfacl -m default:u:bernd:rwx ~/subversion/svn.bwurst.org/repositories

Nach dieser Vorbereitung kann das SVN-Repository über das Konfigurationsinterface aktiviert werden.

===Repository erstellen===

Nach dieser Vorbereitung kann man dann das wirkliche Daten-Repository erstellen.

Erstellen des Repositories »''test''«:
cd ~/subversion/svn.bwurst.org/repositories
svnadmin create test

{{AlertBox
|title=Fehler im aktuellen Subversion
|content=Der Befehl ''svnadmin create'' setzt sich in der aktuellsten Version leider beim erstellen einer Datei über die Default-ACL hinweg und erzeugt eine Datei die der Webserver nicht schreiben darf. Zur Lösung des Problems bitte diesen Befehl (mit angepasstem Pfad für ''test'') zusätzlich ausführen:
setfacl -m u:apache:rw test/db/rep-cache.db
}}

===Benutzer und ACL einrichten===

Zu den beiden vorgenannten Dateien komme ich nun. Die Datei ''users'' enthält eine Liste der erlaubten Benutzer. Für diejenigen, die sich mit Apache-Authentifizierung auskennen: Es ist eine ganz normale ''.htpasswd''-Datei. Diese kann mit dem Programm ''htpasswd'' erstellt und bearbeitet werden. In der Hilfe des Programms wird erklärt, wie man damit Benutzer anlegt und verändert:
htpasswd -B /home/bernd/subversion/svn.bwurst.org/users bernd
würd z.B. einen Benutzer ''bernd'' anlegen und nach dem gewünschten Passwort fragen. Mehr dazu mit
htpasswd --help

Wenn man nun mindestens einen Benutzer angelegt hat, dann kann man mit Hilfe der ACL (''Access control list'') festlegen, was dieser Benutzer darf und was z.B. der anonyme Benutzer (ohne Authentifizierung) darf.

Ich gehe im Folgenden davon aus, dass der Benutzer ''bernd'' der Administrator ist und zugriff auf alles haben soll, ein nicht angemeldeter Benutzer soll im Repository ''test'' jedoch nur Zugriff auf das Unterverzeichnis ''trunk'' (Laut subversion-Dokumentation soll ''trunk'' den grade aktuellen Stand wiederspiegeln) bekommen.
Dazu erstelle ich folgende ACL-Datei:

[test:/]
bernd = rw

[test:/trunk]
* = r
bernd = rw

Nicht aufgeführte Benutzer für eine bestimmte Sektion haben keinen Zugriff. Wenn der Eintrag ''*:r'' nicht gesetzt wird, dann wird eine Anmeldung mit gültigen Benutzerdaten unbedingt verlangt.

Mehr Informationen und Hintergründe zur Konfiguration von Subversion finden Sie (auf englisch) im [http://svnbook.red-bean.com/en/1.1/index.html Subversion book].

==SVN-Subdomain erstellen==

Typischerweise werden SVN-Server unter einer eigenen Subdomain betrieben. Daher ist diese Funktion bei uns in das Webinterface bei den Subdomains integriert. Sie können einfach eine neue Subdomain anlegen und dort von "Normal (Selbst Dateien hinterlegen)" auf "Subversion-Server" umstellen.

Alle Pfadangaben werden dann wie oben genannt automatisch zugewiesen. Beachten Sie, dass die Änderungen im Webinterface nicht umgehen wirken sondern mit einer Verzögerung von maximal 10 Minuten auf dem Server umgesetzt werden.

==Später weitere repositories anlegen==
Wenn der SVN-über-DAV-Zugang einmal eingerichtet ist, können beliebig viele Repositories ohne neue Subdomain erstellt und verwaltet werden.

Dazu muss einfach im Verzeichnis das die Repositories enthält (im Beispiel ''/home/bernd/subversion/svn.bwurst.org/repositories'') der Befehl '''svnadmin create ''foobar''''' ausgeführt werden, wobei ''foobar'' der Name des neuen Repositories ist.

Zudem ist in den meisten Fällen nötig, dass man in der oben erstellten Datei ''acl'' einen neuen Eintrag äquivalent zum alten erstellt.

Subversion

2014-09-14T19:51:00Z

Hanno: htpasswd2 heißt inzwischen htpasswd und liegt in bin

[[Category:Subversion]]
[[Category:Webserver]]
Subversion ist ein sog. Version-Kontrollsystem. Diese Systeme sind dazu gedacht, einen Datenbestand (meistens Programmcode oder Text-Dokumente) zu verwalten und Änderungen zu dokumentieren. Damit können z.B. mehrere Autoren an einem Programm schreiben und es ist jederzeit möglich, einzelne Änderungen zu verfolgen oder rückgängig zu machen.

Auch für HTML- oder PHP-Dateien ist Subversion sehr empfehlenswert.

=Funktionsweise=

Subversion arbeitet immer mit einem sog. ''Repository'' in dem das System seine Aufzeichnungen speichert und einer ''Working copy'', die den aktuellen Stand enthält und in der der Benutzer seine Änderungen direkt durchführt.

Allerdings gibt es verschiedene Möglichkeiten, wie das Subversion-Programm auf sein Repository zugreift.

==lokales Repository==

Im trivialen Fall ist das Repository einfach ein Verzeichnis auf der selben Festplatte. Dann muss der Benutzer, der Subversion aufruft nur Lese- und Schreibrechte in dem Verzeichnis haben und kann sofort mit Subversion arbeiten. Diese Variante ist nur zu empfehlen, wenn nur wenige (besser: nur ein) benutzer an immer dem selben Rechner arbeitet.

Diese Variante ist auf schokokeks.org zwar ohne weiteres nutzbar, wir empfehlen aufgrund der genannten Einschränkungen jedoch die Einrichtung eines Servers wie folgt...

==Subversion-Server==

Meistens ist es praktischer, einen zentralen Server zu haben, auf dem das Repository gespeichert ist. Es ist damit möglich von verschiedenen Computern mit verschiedenen Benutzern zu arbeiten und alle Änderungen trotzdem zentral zu erfassen.

Bei uns ist die Vorkehrung vorhanden um Subversion über [[WebDAV]] zu betreiben. Webdav erweitert das normale HTTP-Protokoll um eine direkte Upload-Fähigkeit und einige andere Techniken zur Datei-Manipulation. Das Subversion-Modul im Webserver sorgt nun einerseits dafür, dass das Subversion-Programm direkt mit dem Server kommunizieren kann und dort die Änderungen verwaltet werden, andererseits besteht aber zudem die Möglichkeit mit einem ganz normalen Browser auf den jeweils aktuellen Stand des Repositories zuzugreifen. Dieses Feature ist besonders interessant, wenn neben den Autoren der Daten auch Besucher einzelne Daten herunterladen können sollen (das ist natürlich konfigurierbar), denn diese brauchen dann keine weitere Software als einfach den Browser. Ob man für den Zugriff Benutzernamen und Passwort eingeben muss lässt sich frei konfigurieren.

Im folgenden werde ich technisch beschreiben, wie der Subversion-via-Webdav-Zugriff eingerichtet werden kann.

=Einrichtung des Webdav-Zugriffs=

Bitte lesen Sie zum Verständnis auch den Artikel zu [[WebDAV|WebDAV im allgemeinen]]. Es werden trotzdem alle Schritte hier nochmals erklärt.

==Vorbereitung==

Zuerst sollten Sie die passenden Pfade und Dateien in Ihrem Benutzeraccount erstellen.

===Pfade===

Um den Aufwand für beide Seiten minimal zu halten und Missverständnisse und Verwirrung zu minimieren, werden bei uns die Pfade nach untenstehendem Schema angenommen. Abweichende Konfigurationen sind technisch möglich, aber mit erheblichem Mehraufwand verbunden.

Hier in dieser Anleitung will der Benutzer ''bernd'' unter der Subdomain ''svn.bwurst.org'' ein Subversion-Repository betreiben. Wann immer die Pfade diese Teile enthalten, sollte das bei Ihnen durch den zu verwendenden Namen ersetzt werden.

===Vorbereitungen===

Als erster Schritt muss das Subversion-Unterverzeichnis im Benutzer-Home-Verzeichnis angelegt werden:

mkdir ~/subversion

Dort wird dann für die passende Subdomain ein Daten-Verzeichnis angelegt:

mkdir ~/subversion/svn.bwurst.org

Damit der Webserver dieses Verzeichnis benutzen kann, muss man ihm das '''x'''-Recht einräumen:

setfacl -m u:apache:x /home/bernd /home/bernd/subversion /home/bernd/subversion/svn.bwurst.org
(Hierbei ist wichtig, dass der Webserver auf ''alle'' Zwischen-Ebenen mindestens ein '''x'''-Recht bekommt um das Verzeichnis zu durchqueren.)

Der Subversion-Server arbeitet nach dem Prinzip, dass man ein Verzeichnis vorgibt, in dem sich dann mehrere Repositories befinden können. Zusätzlich werden noch zwei Dateien gebraucht, die ebenfalls zum Subversion-System der betreffenden Subdomain gehören, jedoch nicht in diesem repositories-Verzeichnis sein sollten:

mkdir ~/subversion/svn.bwurst.org/repositories
touch ~/subversion/svn.bwurst.org/acl
touch ~/subversion/svn.bwurst.org/users

Für diese zwei Dateien und das Repositories-Verzeichnis müssen wir ebenfalls die Rechte verteilen:

setfacl -m u:apache:rx ~/subversion/svn.bwurst.org/repositories
setfacl -m u:apache:r ~/subversion/svn.bwurst.org/acl
setfacl -m u:apache:r ~/subversion/svn.bwurst.org/users

Damit der Apache in allen neuen Repositories automatisch das Recht erhält, beliebig zu lesen und zu schreiben, setzen wir noch das hier:

setfacl -m default:u:apache:rwx ~/subversion/svn.bwurst.org/repositories

Zudem setzen wir das folgende, damit der Benutzer selbst die Dateien wieder verändern und z.B. löschen kann (''bernd'' bitte durch den eigenen Benutzernamen ersetzen):

setfacl -m default:u:bernd:rwx ~/subversion/svn.bwurst.org/repositories

Nach dieser Vorbereitung kann das SVN-Repository über das Konfigurationsinterface aktiviert werden.

===Repository erstellen===

Nach dieser Vorbereitung kann man dann das wirkliche Daten-Repository erstellen.

Erstellen des Repositories »''test''«:
cd ~/subversion/svn.bwurst.org/repositories
svnadmin create test

{{AlertBox
|title=Fehler im aktuellen Subversion
|content=Der Befehl ''svnadmin create'' setzt sich in der aktuellsten Version leider beim erstellen einer Datei über die Default-ACL hinweg und erzeugt eine Datei die der Webserver nicht schreiben darf. Zur Lösung des Problems bitte diesen Befehl (mit angepasstem Pfad für ''test'') zusätzlich ausführen:
setfacl -m u:apache:rw test/db/rep-cache.db
}}

===Benutzer und ACL einrichten===

Zu den beiden vorgenannten Dateien komme ich nun. Die Datei ''users'' enthält eine Liste der erlaubten Benutzer. Für diejenigen, die sich mit Apache-Authentifizierung auskennen: Es ist eine ganz normale ''.htpasswd''-Datei. Diese kann mit dem Programm ''htpasswd'' erstellt und bearbeitet werden. In der Hilfe des Programms wird erklärt, wie man damit Benutzer anlegt und verändert:
htpasswd /home/bernd/subversion/svn.bwurst.org/users bernd
würd z.B. einen Benutzer ''bernd'' anlegen und nach dem gewünschten Passwort fragen. Mehr dazu mit
htpasswd --help

Wenn man nun mindestens einen Benutzer angelegt hat, dann kann man mit Hilfe der ACL (''Access control list'') festlegen, was dieser Benutzer darf und was z.B. der anonyme Benutzer (ohne Authentifizierung) darf.

Ich gehe im Folgenden davon aus, dass der Benutzer ''bernd'' der Administrator ist und zugriff auf alles haben soll, ein nicht angemeldeter Benutzer soll im Repository ''test'' jedoch nur Zugriff auf das Unterverzeichnis ''trunk'' (Laut subversion-Dokumentation soll ''trunk'' den grade aktuellen Stand wiederspiegeln) bekommen.
Dazu erstelle ich folgende ACL-Datei:

[test:/]
bernd = rw

[test:/trunk]
* = r
bernd = rw

Nicht aufgeführte Benutzer für eine bestimmte Sektion haben keinen Zugriff. Wenn der Eintrag ''*:r'' nicht gesetzt wird, dann wird eine Anmeldung mit gültigen Benutzerdaten unbedingt verlangt.

Mehr Informationen und Hintergründe zur Konfiguration von Subversion finden Sie (auf englisch) im [http://svnbook.red-bean.com/en/1.1/index.html Subversion book].

==SVN-Subdomain erstellen==

Typischerweise werden SVN-Server unter einer eigenen Subdomain betrieben. Daher ist diese Funktion bei uns in das Webinterface bei den Subdomains integriert. Sie können einfach eine neue Subdomain anlegen und dort von "Normal (Selbst Dateien hinterlegen)" auf "Subversion-Server" umstellen.

Alle Pfadangaben werden dann wie oben genannt automatisch zugewiesen. Beachten Sie, dass die Änderungen im Webinterface nicht umgehen wirken sondern mit einer Verzögerung von maximal 10 Minuten auf dem Server umgesetzt werden.

==Später weitere repositories anlegen==
Wenn der SVN-über-DAV-Zugang einmal eingerichtet ist, können beliebig viele Repositories ohne neue Subdomain erstellt und verwaltet werden.

Dazu muss einfach im Verzeichnis das die Repositories enthält (im Beispiel ''/home/bernd/subversion/svn.bwurst.org/repositories'') der Befehl '''svnadmin create ''foobar''''' ausgeführt werden, wobei ''foobar'' der Name des neuen Repositories ist.

Zudem ist in den meisten Fällen nötig, dass man in der oben erstellten Datei ''acl'' einen neuen Eintrag äquivalent zum alten erstellt.

Wiki-Seite anlegen

2014-07-02T11:27:43Z

Hanno: /* Anmeldung am Wiki */

[[Category:Schokokeks]]
[[Category:MediaWiki]]
Das Team von schokokeks.org hat stets das Ziel, dem Benutzer seine Arbeit mit und auf dem Server zu vereinfachen. Dennoch gibt es gelegentlich die Notwendigkeit für Dokumentation und Hilfestellung. Hier in diesem Wiki werden die Texte sowohl von den Administratoren geschrieben, können aber auch von jedem Benutzer bearbeitet und ergänzt werden.
Auch neue Inhalte dürfen gerne angelegt werden.

== Anmeldung am Wiki ==
Um Änderungen am Wiki vorzunehmen muss man sich Anmelden. Am Kopf jeder Seite befindet sich ein Link zur [[Spezial:Userlogin|Anmelde-Seite]]. Das Anlegen von Benutzerkonten haben wir aufgrund des hohen Spam-Aufkommen deaktiviert. Wenn Sie ein Benutzerkonto anlegen möchten wenden Sie sich bitte an einen der Administratoren.

Wenn Sie ein Konto registrieren, benutzen Sie bitte Ihren System-Benutzernamen oder Ihren vollen Namen, damit wir die Benutzer identifizieren können. Wir behalten uns vor, Namen die wir nicht zuordnen können zu löschen.

== Name eines Artikels ==
Die Wahl des Namens für einen neuen Artikel ist ausgesprochen wichtig. Angenommen Sie möchten über die Ruby-Bibliothek xmpp4r schreiben, so wäre der korrekte Name - ganz einfach - xmpp4r. In dem Fall ist der Namen eindeutig und zukünftige Konflikte mit gleichnamigen Anleitungen können ausgeschlossen werden. Es gibt aber auch Ausnahmen. Der Name ''Key-Login'' ist nicht eindeutig genug für einen Artikel über das Authentifizierungverfahren via Public Key mit SSH. Hier sollte der Seitenname ''Key-Login (OpenSSH)'' heißen.

== Stil-Richtlinien ==
Die wichtigste Regel zu Beginn:
* Eine Hilfe-Seite ist besser als keine Hilfe-Seite, egal in welchen Stil sie verfasst ist.
Dennoch freuen wir uns, wenn Sie beim Schreiben gleich auf folgende Punkte achten:
* Die Anleitungen sollten so weit wie möglich in der dritten Person von einem Benutzer sprechen. Der Begriff ''Benutzer'' ist dabei dem Begriff ''Kunde'' vorzuziehen.
* Der Benutzer sollte mit ''Sie'' angesprochen werden
* Bei der männlichen Form ist das weibliche Pendant immer mitgemeint. Bitte kein Binnenmajuskel oder Ähnliches.
* Versuchen Sie, so einfach wie möglich zu erklären. Vermeiden Sie ''Tech-Speek''.
* Verwenden Sie deutsche Begriffe, sofern diese gebräuchlich sind. Also nicht ''Mutterbrett'' statt ''Motherboard'' aber ''aktualisieren'' statt ''updaten''.
* Schreiben Sie in ganzen Sätzen mit möglichst korrekter, deutscher Grammatik.

== Wiki-Vorlagen ==
Für die Vereinfachung von komplexen Layout-Konstrukten stehen einige Wiki-Vorlagen zu Verfügung.

=== Achtung-Feld ([[Vorlage:AlertBox|AlertBox]]) ===
Diese Vorlage sollte für wichtige Hinweise in der Anleitung genutzt werden.
==== Verwendung ====
<nowiki>{{AlertBox
|title=<titel>
|content=<text>
}}</nowiki>
==== Aussehen ====
{{AlertBox
|title=<titel>
|content=<text>
}}

=== Hinweis-Feld ([[Vorlage:Box|Box]]) ===
Diese Vorlage darf für einfach Boxen verwendet werden, wo sie dem Autor passend erscheinen.
==== Verwendung ====
<nowiki>{{Box
|title=<titel>
|content=<text>
|image=Category-Help.png
}}</nowiki>
==== Aussehen ====
{{Box
|title=<titel>
|content=<text>
|image=Category-Help.png
}}

== Wiki-Syntax ==
Es gibt noch sehr viele weitere Möglichkeiten, Wiki-Texte zu formatieren. Eine Umfassende Hilfestellung gibt die [http://de.wikipedia.org/wiki/Hilfe:Bearbeitungshilfe Bearbeitungshilfe der Wikipedia], die auf der selben Wiki-Technologie aufbaut.

Hinweise

2014-05-08T10:55:15Z

Hanno:

= Probleme richtig melden =

Wir möchten Ihnen bei auftretenden Problemen gerne schnell und kompetent helfen. Um dies erreichen zu können, benötigen wir in der Regel einige Informationen.

Bitte vermeiden Sie nichtssagende Anfragen wie ''"Ich komme nicht mehr auf den Server. Können Sie bitte danach schauen?"''

Besser wäre in dem Fall beispielsweise: ''"Beim Versuch mit Mozilla Thunderbird Version 24.5.0 unter Windows 8 eine Nachricht zu versenden erhalte ich den Fehler 'Zeitüberschreitung'. Letztmals habe ich das am xx.xx. um yy:yy Uhr versucht. Das Abrufen von Nachrichten funktioniert noch."''

Bitte schauen Sie vor dem Absenden einer Störungsmeldung kurz [http://status.schokokeks.org/ auf der Status-Website] nach, ob aktuell eine Störung bekannt ist.

Folgende Informationen sollten Sie uns nach Möglichkeit senden:

* Wenn Sie eine Fehlermeldung erhalten haben teilen Sie uns bitte den genauen Wortlaut der Fehlermeldung mit. Ein Tipp: Sie können auch einen Screenshot oder ein Foto der Fehlermeldung machen und uns zumailen.
* Ist ein Mailprogramm oder ein Browser auf Ihrem Rechner beteiligt? Dann nennen Sie uns bitte den Namen des Programms, die Version und das verwendete Betriebssystem.
* Teilen Sie uns bitte das Datum und die möglichst genaue Uhrzeit mit, zu der sie das Problem letztmalig feststellen konnten.
* Falls es sich um ein Problem mit einem E-Mail-Postfach handelt, nennen Sie uns bitte die E-Mail-Adresse (Bei Zustellproblemen Absender und Empfänger).
* Falls es sich um ein Problem mit einer Webseite handelt, nennen Sie uns bitte die konkrete Adresse der betroffene Webseite und falls bekannt auch die betroffene PHP-Datei.
* Falls Ihr Kundenkonto bei uns nicht unter Ihrem Namen geführt wird: Die Kundennummer oder den Benutzernamen bei schokokeks.org.

Senden Sie möglichst viele der genannten Informationen gleich zu Beginn mit, damit langwierige Nachfragen vermieden werden können.

Hinweise

2014-05-07T15:03:12Z

Hanno: Die Seite wurde neu angelegt: „= Hinweis: Wichtige Informationen bei Problemberichten = Wir erleben es leider immer wieder, dass Kunden mit Problemen auf uns zukommen, die Problembeschreibu…“

= Hinweis: Wichtige Informationen bei Problemberichten =

Wir erleben es leider immer wieder, dass Kunden mit Problemen auf uns zukommen, die Problembeschreibung dabei aber wenig hilfreich ist.

Ein typisches (rein hypothetisches) Beispiel wäre etwa eine Mail mit dem Inhalt: "Ich kann seit einiger Zeit keine Mails mehr verschicken. Können Sie bitte danach schauen?"

Eine solche Meldung macht es uns unnötig schwer, nach dem Problem zu suchen, denn viele wichtige Informationen fehlen. Wir möchten alle Kunden bitten, dass Problemberichte auf jeden Fall folgende Informationen enthalten:

* Wenn Sie eine Fehlermeldung erhalten haben teilen Sie uns bitte den genauen Wortlaut der Fehlermeldung mit. Ein Tipp: Sie können auch einen Screenshot oder einfach ein Foto der Fehlermeldung machen und uns zumailen.
* Handelt es sich um ein Problem mit einer bestimmten Software, etwa einem Mailprogramm oder einem Browser? Dann teilen Sie uns bitte den Namen des Programms, die Version und das verwendete Betriebssystem mit.
* Es ist für die Fehleranalyse oftmals sehr hilfreich, wenn wir den genauen Zeitpunkt haben, zu dem das Problem auftrat. Teilen Sie uns bitte deshalb das Datum und die genaue Uhrzeit mit, zu der sie das Problem feststellen konnten.
* Falls es sich um ein Problem mit einer Mailadresse handelt: Die betroffenen Mailadressen (Absender und Empfänger).
* Falls es sich um ein Problem mit einer Webseite handelt: Die betroffene Webseite und falls bekannt auch die betroffene PHP-Datei.
* Ihre Kundennummer oder den Namen ihres Benutzeraccounts.

In vielen Fällen erleichtert dies die Fehlersuche enorm und wir können Ihnen bei Problemen schneller weiterhelfen.

E-Mail/Weiterleitungen

2014-02-02T16:50:06Z

Hanno:

== E-Mail-Weiterleitungen ==

Ihre E-Mail-Adressen bei schokokeks.org können Sie auf unterschiedliche Art verwenden. Unter anderem ist auch die Weiterleitung an ein bestehendes Postfach bei einem anderen Provider möglich.

Es gibt dabei allerdings eine technische Schwierigkeit, die wir im folgenden kurz erklären möchten: Beim Weiterleiten erscheinen dann unsere Server als Absender gegenüber dem Ziel-Server bei Ihrem Postfach-Provider. Werden nun im Zuge einer Weiterleitung auch Spam-Mails an Ihr Postfach weiter geleitet und von einem Spamfilter bei Ihrem Ziel-Postfach erkannt, so werden ggf. unsere Server als Spam-Versender eingestuft und an zentrale Spam-Sender-Dateien übermittelt.

Passiert dies mehrfach, dann besteht die Gefahr dass andere Server E-Mails von unseren Anlagen grundsätzlich ablehnen, was dann zu Störungen bei allen Benutzern von schokokeks.org führt.

Um diese Gefahr zu minimieren dürfen nur Weiterleitungen eingerichtet werden die folgende Kriterien erfüllen:
* Der Spamfilter für die betreffende E-Mail-Adresse ist aktiviert mit der Einstellung dass erkannte Spam-Mails nicht weitergeleitet werden
* oder die Weiterleitung erfolgt auf einen Server von dem Sie garantieren können dass dort kein Spamfilter mit entsprechender Meldung an Spam-Sender-Dateien eingesetzt wird.

Konkret bedeutet dies: '''Weiterleitungen an Adressen großer Anbieter''' (T-Online, AOL, GMX, Google Mail etc.) '''müssen mit aktiviertem Spamfilter eingerichtet werden.''' Außerdem sind Catch-all-Weiterleitungen an große Anbieter generell verboten.

Wir weisen Nutzer, die eine problematische Konfiguration eingerichtet haben, darauf hin und behalten uns vor, dies bei Nichtreagieren oder in dringenden Fällen selbst zu ändern.

=== Alternativen zur Weiterleitung ===

Viele Mailanbieter, darunter auch Gmail und GMX, bieten ihren Anwendern die Möglichkeit, Mails via POP3 von anderen Accounts abzurufen. Damit kann man die Problematiken der Weiterleitungen vermeiden.

E-Mail/Weiterleitungen

2014-02-02T10:15:27Z

Hanno: /* E-Mail-Weiterleitungen */