schokokeks.org Wiki - Benutzerbeiträge [de]

DynDNS

2008-06-21T14:03:30Z

Morpheus:

[[Kategorie:DNS]]

Wir verwalten den Namensraum unserer Domains selbst auf unserem eigenen DNS-Server.

==DNS-Server==

Wie ein DNS-Server und das ganze DNS funktioniert, wäre jetzt etwas lang zum erklären, aber grundsätzlich ist es so:

:jeder hostname wie z.B. ''bla.dyn.schokokeks.org'' wird vom DNS-Server in eine IP-Adresse aufgelöst.

:Wenn man normalerweise im Internet einen hostname eintippt, wird der Eintrag vom DNS-Cache des Providers aber zwischengespeichert (i.d.R. 2 Tage).

==DynDNS==

Das Problem eines Computers, der mit einer dynamischen Adresse im Internet hängt teilt sich also in die beiden Bereiche: der zuständige DNS-Server muss wissen, wie die aktuelle IP des Rechners ist und diese in seinen DNS-Daten richtig eintragen. Und zweitens muss die Zeit, die die Daten im Zwischenspeicher bleiben drastisch reduziert werden.

Ein Server, der diese beiden Dienste anbietet, nennt man DynDNS.

Auf unserem Server bieten wir die Möglichkeit an, diesen Dienst zu nutzen.
Dazu bekommt der Nutzer einen Zugang über den die jeweils aktuelle IP-Adresse zum Zeitpunkt der Wiedereinwahl aktualisiert werden kann.
Aus diesen Daten wird dann ein Hostname im DNS-Server erstellt, der eine Gültigkeit von 120 Sekunden hat. Das bedeutet, nach spätestens 120 Sekunden muss jeder Nameserver im Internet wieder bei unserem Server nachfragen, ob die Adresse noch stimmt.

Dadurch erreicht man eine sehr hohe Verfügbarkeit.

==Das Update==

===per SSH===

Das Update der aktuellen Adresse erfolgt bequem per SSH mit einem [[Key-Login (OpenSSH)|SSH-Key]]. Sobald der Rechner mit dem passenden private-key eine Verbindung zum Server aufbaut, wird die IP-Adresse aktualisiert.

Dazu ist ein Key zu erstellen (geschickter weise ohne Passwort) und der nötige public-key muss auf dem Server (von einem Admin) eingefügt werden.

Das Update selbst führt man am einfachsten aus, im dem man den Befehl
:<pre>ssh -q -T dyndns@schokokeks.org</pre>
bei jeder Einwahl ausführt.

Eventuell möchte man eine spezielle SSH-Key-Datei angeben, das macht man dann mit '''-i pfad/zur/id_rsa'''.

Unser DNS-Server meldet ein erfolgreiches Update mit der Meldung '''good ''ipadresse'''''. Eventuell möchte man diese Meldung nicht sehen, sondern nur wenn das Update fehlgeschlagen ist. Dann kann man den Befehl noch um den Anhang ''| grep -v -e "good "'' erweitern.

===per HTTPS===

Es kamen immer wieder Anfragen, ob man unsere DynDNS-Einträge auch per https aktualisieren kann. Offenbar gibt es Hardware-Router, die mit dem Service von dnydns.org kompatibel sind und trotzdem einen frei wählbaren update-Server-Name erlauben.

Daher ist auch unser HTTP-update-Service mit dem von dyndns.org kompatibel.

Technisch funktioniert das so:
Es wird die URL
:<nowiki>https:</nowiki>//'''[user]''':'''[password]'''@dyndns.schokokeks.org/nic/update?myip='''[IP]'''
aufgerufen. Dyndns.org kennt noch mehr Parameter, die sind für uns aber unerheblich.

:'''[user]''' ist wie beim ssh-update der alias des Eintrages, also der Dateiname in ~dnsupdate/dyndns in dem die Daten liegen.
:'''[password]''' ist das Passwort, das wird in /home/webadmin/dyndns-update/userdb verwaltet (mit htpasswd)
:'''[IP]''' ist die aktuelle IP des Clients. Der Parameter ist optional, wenn er angegeben wird hat er Priorität gegenüber dem was der Webserver als REMOTE_ADDR sagt.

Aufgrund der Tatsache, dass viele Hardware-Router das Update nur über HTTP und nicht über HTTPS durchführen können, wurde unsere Richtlinie in diesem Punkt etwas gelockert. Das Update darf nun auf gleiche Art und Weise auch über HTTP gemacht werden. Sofern HTTPS vom benutzen Gerät unterstützt wird, ist dies natürlich zu bevorzugen!

== DynDNS-Update mit einem DD-WRT-Router ==

Sofern man einen Router mit der Linux-Firmware DD-WRT hat, kann man diesen für das DynDNS-Update benutzen.
Dazu muss folgendes eingetragen werden:

DDNS-Service: DynDNS.org
Nutzername: USERNAME
Passwort: PASSWORT
Hostname: HOSTNAME --dyndns_server_name dyndns.schokokeks.org --dyndns_server_url /nic/update?

Der Hostname wird nur gebraucht um herauszufinden ob ein Update nötig ist. Beachten Sie, dass die zusätzlichen Parameter mit in das Feld für den Hostname eingetragen werden müssen!

== DynDNS-Update mit einem Router von AVM ==

Besitzer eines Routers vom Hersteller AVM können den in die Firmware integrierten DynDNS-Client leider nicht benutzen. Wer keine gemoddete Firmware einspielen möchte, der kann mit folgendem Workaround seinen eigenen DynDNS-Client (ohne Verschlüsselung) auf dem Router betreiben.

Zunächst muss der Telnet-Server auf der Fritz!Box aktiviert werden, was sich z.B. durch das Drücken der Tastenfolge #96*7* an einem analogen Telefon bewerkstelligen lässt. Danach kann man sich mit einem Telnet-Client auf dem Router einloggen und folgende Zeilen eingeben:

<pre>
cat >> /var/dyndns.sh << EOF
#!/bin/sh
while true; do
wget -q http://benutzername:passwort@dyndns.schokokeks.org/
sleep 300
done
EOF
</pre>

Anschließend muss nur noch das soeben erstellte Skript gestartet werden. (Das Skript bleibt nur bis zum nächsten Neustart des Routers im Speicher.)

SNI

2008-05-16T17:54:35Z

Morpheus:

Klassischerweise erlaubt die SSL-Protokollschicht pro IP-Adresse und TCP-Port nur ein Zertifikat. Wenn also mehrere (virtuelle) Hosts unter der selben Adresse erreichbar sind, wie es bei Websites üblich ist, kann der im Zertifikat fest eingetragene Hostname nur für eine einzige Adresse gültig sein. Alle anderen Adressen erhalten das für sie unpassende Zertifikat.

= Server Name Indication =

Für dieses Problem gibt es seit kurzer Zeit eine Lösung: '''Server Name Indication''' (beschrieben in RFC 3546). Diese Erweiterung des TLS-Protokolls ermöglicht, vor Übertragung des Zertifikats den gewünschten Hostname zu übertragen. Damit wird es möglich, pro virtuellen Host ein Zertifikat zu hinterlegen.

== Unterstützung Serverseitig ==

OpenSSL unterstützt SNI seit kurzem in der Version 0.9.8f. GnuTLS unterstützt SNI schon deutlich länger, seit 0.5.10. Für Apache ist momentan noch ein [http://issues.apache.org/bugzilla/show_bug.cgi?id=34607 Patch] notwendig. Für lighttpd ist SNI ebenfalls [http://trac.lighttpd.net/trac/ticket/386 in Arbeit].

== Unterstützung Browser ==

Mozilla Firefox und Opera unterstützen SNI schon länger problemlos, Internet Explorer erst ab Version 7. Ebenso unterstützen fast alle Mozilla-basierenden Browser SNI (bspw. Epiphany).
Konqueror unterstützt SNI bislang überhaupt nicht, es wird vermutlich mit KDE 4.1 kommen. Ebenso unterstützt Safari bislang kein SNI.

Insbesondere die Unterstützung durch den aktuellen Internet-Explorer lässt hoffen, dass diese Technik in naher Zukunft großflächig eingesetzt werden kann, sobald von Safari und Konqueror die nächsten Versionen erscheinen.

== Weitere Software ==

Theoretisch lässt sich SNI auch für andere Systeme außer http, die virtuelle Hosts nutzen, einsetzen, etwa Jabber/XMPP. Über den Stand der Unterstützung ist uns noch nichts bekannt.

== Links/Hintergründe ==

* [http://www.rfc-archive.org/getrfc.php?rfc=3546 RFC 3546]
* [http://wiki.cacert.org/wiki/VhostTaskForce VhostTaskForce bei CAcert]
* [http://hboeck.de/archives/556-https-with-multiple-certs-on-one-IP.html Blog-Artikel (englisch) von Hanno Böck]
* [http://www.schokokeks.org/blog/eigene_ssl_zertifikate_f_r_kunden Blog-Artikel bei schokokeks.org]
* [http://www.schokokeks.org/blog/presseinformation_schokokeks_org_setzt_f_r_ssl_zertifikate_auf_sni Presseinformation von schokokeks.org]

E-Mail/Unterschiede zwischen QMail und Courier

2008-05-02T15:00:59Z

Morpheus:

[[Category:E-Mail]]
[[Category:Dot-QMail]]
Im Zuge der aktuell durchgeführten Umstellung von [http://cr.yp.to/qmail.html QMail] auf den [http://www.courier-mta.org/ Courier-Mailserver] gibt es leider ein paar Änderungen. Diese Seite soll diese übersichtlich zusammenfassen.

=Motivation=
Erst einmal schulden wir unseren Benutzern eine Begründung, warum wir diese Umstellung durchgeführt haben. Nun, es gibt sogar mehrere. Der Mailserver QMail wurde im Jahre 1996 entwickelt und seither nicht mehr vom Autor an Neuentwicklungen angepasst. Daher kann ein ''nacktes'' QMail nur E-Mails versenden und empfangen, was ihm jedoch fehlt sind Funktionen zur Spam-Bekämpfung, da diese erst später relevant bzw. erfunden wurden. Eine SMTP-Authentifizierung fehlt QMail ebenso wie ein SSL-Modus. Diese unverzichtbaren Features konnten wir mit Patches aufrüsten, jedoch verliert man damit den Status des Programmpaketes, ein derart selbst erweitertes Programm ist spürbar schwerer zu warten. Wegen der ungewöhnlich flexiblen benutzerbasierten Zustellung haben wir uns zum Start des schokokeks.org-Projektes trotzdem für QMail entschieden.

Nun ist mit Courier-MTA eine Software verfügbar, die diese Flexibilität der Zustellung kombiniert mit einem modernen System, das bereits alle modernen Arten der Benutzerauthentifikation integriert hat. Wir hatten bisher schon den IMAP- und POP3-Server aus dem Courier-Paket benutzt und haben nun den Mailserver hinzugenommen.

Ein weiterer Grund ist die Abweisung von Nachrichten auf SMTP-Ebene, wenn diese nicht zugestellt werden können. QMail hatte prinzipiell alle Nachrichten für lokale Domains angenommen und bei Nichtzustellbarkeit eine Bounce-Nachricht zurückgeschickt. Da aber leider sehr viele Spam- und Viren-Nachrichten mit gefälschten Absendern unterwegs sind, sollten solche Bounce-Nachrichten nicht an unschuldige Dritte versandt werden. Courier kann dirket prüfen, ob es eine entsprechende Adresse gibt und ggf. die Nachricht sofort ablehnen. Dies vermindert zudem den Ressourcenbedarf. Auch bei stark fehlerhaften Nachrichten lehnt Courier die Annahme ab. Typisch ist dies für die minimalen ''Mailschleudern'' von Viren und Spam-Versendern, viele solcher Nachrichten werden sofort blockiert und gar nicht erst angenommen.

Last but not Least bietet und Courier eine nette Möglichkeit, die verfügbaren Adressen bestimmter Domains aus einer Datenbank zu beziehen und erlaubt uns jetzt alternativ zur bestehenden, benutzerbasierten Zustellung auch eine virtuelle Mailzustellung anzubieten. Mehr dazu später.

=Benutzerbasierte Zustellung=
Und einer benutzerbasierten Zustellung verstehen wir die Erstellung von '''.qmail''' bzw. '''.courier'''-Dateien im Benutzerverzeichnis des Empfängers. Bisher war dies die einzige Möglichkeit, Nachrichten zu Handhaben. Mehr dazu im Kapitel über die [[QMail Beispielkonfiguration]], der in weiten Teilen weiterhin gültig ist.

==Änderungen der Umgebung==

Wenn man in seiner Zustellungsdatei ein Programm aufruft, dann ändern sich hiermit allerdings ein paar Kleinigkeiten. Für von uns bereitgestellte Scripte wie z.B. ''ifspam'', ''ifvirus'' oder ''mailfilter'' ist diese Änderung bedeutungslos, diese sind mit beiden MTAs kompatibel.
Die Änderungen im Einzelnen:

:* Die Umgebungsvariablen '''DTLINE''', '''RPLINE''' und '''UFLINE''' haben zwar vergleichbaren Inhalt, jedoch fehlt im Gegensatz zu QMail ein Zeilenumbruch am Ende. Leider sind die '''preline'''-Programme nicht intelligent genug, diesen Unterschied zu kompensieren, beide erzeugen unter dem jeweils anderen MTA fehlerhafte Nachrichten. Als einfache Lösung bieten wir ein Script namens '''/usr/local/bin/preline''' an, das die Features beider preline-Programme von QMail und Courier kombiniert und den Zeilenumbruch intelligent handhabt.
:* Bei der benutzerbasierten Zustellung schreibt Courier im Gegensatz zu QMail in der Empfängeradresse die Domain um. Das bedeutet, die Domain bei der benutzerbasierten Zustellung ist ''immer'' @schokokeks.org, egal an welche Domain die Nachricht ursprünglich gerichtet war. Bisher konnte man durch die Entfernung des Prefixes die Original-Adresse erhalten, nun ist dies leider nur noch eingeschränkt möglich.

==Dynamic Deliveries==

Courier beherrscht eine eigene Erweiterung namens ''Dynamic Deliveries'', die es in der Form unter QMail nicht gab. Dies ist eine reine Erweiterung, für QMail geschriebene Programme können unverändert benutzt werden.

Bei Interesse können Sie in der [http://www.courier-mta.org/dot-courier.html Dokumentation von Courier] weitere Informationen zu Dynamic Deliveries finden.

E-Mail/Manuelle Konfiguration/IMAP-Konten

2008-05-02T14:58:11Z

Morpheus:

[[Kategorie:E-Mail|A]]
Um E-Mails mittels POP3 bzw. IMAP abrufen zu können ist ein Mailaccount erforderlich.

==Vorbedingungen==
{{AlertBox|title=Automatische Verwaltung|content=Diese Seite ist für Sie nur relevant, wenn Sie die [[E-Mail/Manuelle Konfiguration|manuelle Konfiguration]] für Ihre Domain eingestellt haben. Sofern Sie die [[E-Mail/Webinterface-Verwaltung|Webinterface-Verwaltung]] gewählt haben, brauchen Sie keine manuellen IMAP-Konten festlegen.}}

Um einen Mailaccount per POP3/IMAP abrufen zu können, muss eine Mailbox, ein sog. ''Maildir'' existieren. Das ist in der Regel ein Maildir, das schon für die Konfiguration von .courier-Dateien angelegt wurde. Im Zweifel kann ein Maildir mit dem Befehl '''maildirmake ''[dir]''''' erstellt werden.

==Benötigte Angaben==

Für die Erstellung eines Mailaccounts sind folgende Daten notwendig:
* Accountname
* Maildir-Pfad
* Passwort
die restlichen (intern benötigten) Daten werden automatisch von Ihrem SSH-Login-Account übernommen.

===Accountname===
Der Name eines Account ist das, was später im E-Mail-Programm als ''Benutzername'' eingegeben werden muss. Dabei gibt es folgendes zu beachten:
Jeder Accountname besteht aus einem lokalen Teil und einem Domain-Teil. Wird der Domain-Teil weggelassen, ist @schokokeks.org der Standardwert. Bei eigenen Domains ist der lokale Teil beliebig, bei Verwendung von @schokokeks.org muss der Benutzername am Beginn des lokalen Teils stehen. Erweiterungen im Courier- bzw. QMail-Stil sind zulässig, also z.B. ''bernd'''-spammails'''@schokokeks.org'' wäre für den Benutzer ''bernd'' ein gültiger Name.

'''Wichtig:''' Das wird leider oft falsch gemacht: Dieser komplette Accountname, incl. '''@''' und inkl. dem Domainnamen muss im Mailprogramm beim Feld ''Benutzername'' eingegeben werden!

===Maildir-Pfad===
Der Dateisystem-Pfad zum eingangs genannten Maildir muss existieren und ein absoluter Pfad sein. Das Script kann nicht in Ihrem Benutzerverzeichnis prüfen, ob der Pfad existiert, daher wird lediglich geprüft, ob es sich um einen absoluten Pfad in Ihrem Benutzerverzeichnis handelt. Ob ein abschließender / angegeben wird oder nicht, ist egal.

==Die Mailaccount-Verwaltung==

Es gibt zwei Wege, Mailaccounts zu verwalten. Sie können den Einsatz der Werkzeuge beliebig ausprobieren, sie arbeiten beide mit den selben Daten.

===Die Web-Oberfläche===
Sollten Sie keinen besonderen Hang zu Kommandozeilen-Programmen haben, so werden Sie vermutlich die Web-Oberfläche bevorzugen.

Rufen Sie hierzu bitte die Adresse https://config.schokokeks.org/ auf und melden sich mit Ihren SSH-Zugangsdaten an.

===Das Kommandozeilen-Programm===
Es handelt sich bei diesem Programm um ein Kommandozeilenprogramm mit Dialog-basierter Bedienstruktur. Das bedeutet, es wird über die Tastatur gesteuert, indem Daten eingegeben oder Punkte aus einer Liste ausgewählt werden.

====Speichern und Abbrechen====
Das Programm kann jederzeit durch drücken von Strg+C abgebrochen werden. Es beendet sich dann sofort und ohne zu speichern. Bitte beachten Sie: Der Speichervorgang wird immer genau dann ausgelöst, wenn Sie mit dem Drücken von 'q' zum Hauptmenü zurückkehren. Ein nachfolgender Abbruch des Programms ist bedeutungslos, die Änderungen wurden dann bereits gespeichert.

====Name des Programms====
Um das Programm aufzurufen, geben Sie den Befehl
mailaccounts
bzw.
/usr/local/bin/mailaccounts
ein.

E-Mail/Anwendungsprogramme/mutt

2008-05-02T14:55:44Z

Morpheus:

[[Kategorie:E-Mail/Anwendungsprogramme|M]]
Bei uns ist der Kommandozeilen-E-Mail-Client '''mutt''' in einer aktuellen Version installiert. Zudem sind einige Erweiterungen des ehemals verwendeten '''mutt-ng''' eingebaut.

===Umlaute (UTF-8) sauber darstellen===
Wer ein auf UTF-8 eingestelltes Terminal benutzt, wird feststellen, dass Umlaute irgendwie inkonsistent falsch angezeigt werden, also zum Beispiel im Pager richtig, im Editor beim antworten jedoch falsch.

Das kann man beheben, wenn man konsequent alle Programme auf utf-8 voreinstellt.

Also in der ''.vimrc'' eine Zeile dieser Art:
set fileencoding=utf-8

Dann in der Mutt-Konfigurationsdatei diese beiden Zeilen:
set charset=utf-8
set send_charset="us-ascii:utf-8"

Damit es auch keine Probleme mit der Konfiguration gibt, die auch in UTF-8
geschrieben sein kann, hilft ganz am Anfang der ~/.muttrc:
set config_charset=utf-8

===Sidebar===
Um die Sidebar zu aktivieren fügt bitte folgende Zeilen ein:
set sidebar_width=50
set sidebar_visible=no

bind index \CP sidebar-prev
bind index \CN sidebar-next
bind index \CO sidebar-open
bind pager \CP sidebar-prev
bind pager \CN sidebar-next
bind pager \CO sidebar-open

macro index i ':toggle sidebar_visible^M'
macro pager i ':toggle sidebar_visible^M'

color sidebar_new green black

Damit wird die Sidebar per default zwar ausgeschaltet, kann aber jederzeit mit der Taste "i" eingeschaltet werden.

== Links ==
* [http://files.zeth.net/mutt.pdf Mutt Cheatsheet (PDF)]
* [http://files.zeth.net/mutt.txt Mutt Cheatsheet (txt)]

Jabber

2008-05-02T14:53:27Z

Morpheus:

[[Kategorie:Jabber]]

Für unsere Benutzer bieten wir einen Jabber-Server an.

=Was ist Jabber=

Jabber ist ein sog. ''Instant-Messaging-Dienst'', also ein Dienst über den man direkt mit anderen Benutzern in Kontakt treten kann. Ähnliche Techniken sind z.B. ICQ, YahooMessenger oder MSN. Im Gegensatz zu den genannten Techniken ist Jabber das einzige Verfahren, bei dem alle beteiligten Komponenten (Server-Programm, Client-Programm und Spezifikation der Übertragung) in einem offenen Prozess entwickelt wurden und als Freie Software zur Verfügung stehen. Das bedeutet, jeder kann einen Jabber-Server betreiben und ein geeignetes Jabber-Client-Programm ist für praktisch alle Plattformen verfügbar. Ein weiterer Vorteil ist, dass Jabber dezentral arbeitet. Das bedeutet, eine ''Jabber-ID'' besteht, genau wie eine E-Mail-Adresse, aus einem Benutzername und einer Domain. Wenn ein Benutzer unseres Servers z.B. eine Jabber-Nachricht an einen Benutzer eines anderen Servers schreiben möchte (zu erkennen an der Domain), dann wird diese von Server zu Server weitergeleitet.

=Account beantragen=

In der Vergangenheit boten wir kostenlose Jabber-Accounts an. Dies haben wir inzwischen abgestellt. Jedoch werden Accounts, die zu dieser Zeit angelegt wurden, weiterhin verfügbar bleiben.

schokokeks.org-Kunden können weiterhin Jabber-Accounts anlegen. Dies kann jedoch nicht mit einem Jabber-Client gemacht werden. Um einen Jabber-Account anzulegen verwenden Sie bitte das [https://config.schokokeks.org Konfigurationsinterface].

{{AlertBox
|title=Vorsicht bei der Auswahl des Kennworts
|content=Bei der Auswahl des Jabber Kennworts werden derzeit leider keine Sonderzeichen unterstützt. Leider fängt das Webinterface dies bisher noch nicht ab.
}}

Als besonderes Gimmick bieten wir an, eine Jabber-Kennung mit einer eigenen Domain zu verbinden. D.h. wer seine Domain auf unserem Server betreibt, kann mit einer kurzen Mail erreichen, dass er auch Jabber-IDs bekommen kann, die auf seine eigene Domain enden.

=Verbindungseinstellungen=

Aus Sicherheitsgründen erlauben wir (wie bei allen Anmeldeverfahren) nur eine verschlüsselte Anmeldung. Alle Jabber-Programme müssen also '''SSL''' benutzen, diese Einstellung muss eingeschaltet werden. Sollte Ihr Programm auch '''TLS''' beherrschen, wählen Sie bitte '''TLS''' aus.

=Probleme mit Transports=

Jabber bietet sogenannte Transports an, mit denen eine Verknüpfung mit Accounts anderer, proprietärer IM-Systeme (ICQ, AIM, MSN etc.) möglich ist. Da diese Systeme jedoch nicht dokumentiert sind und des öfteren ihr Protokoll unangekündigt wechseln, kann ein störungsfreies Funktionieren hier nicht garantiert werden.

Da inzwischen auch von einigen großen Anbietern Jabber genutzt wird (gmail, gmx), empfehlen wir, wenn immer möglich, auf diese Möglichkeit auszuweichen.

==MSN Probleme, Stand November 2007==

MSN änderte im November sein Protokoll, für den von uns verwendeten Transport PyMSNt steht bislang kein Update zur Verfügung. Dies führt zu permanenten Verbindungsabbrüchen.

http://delx.cjb.net/pymsnt/

=Clients=
Es gibt unterschiedliche [[Clients (Jabber)|Jabber-Clients]]. Zu folgenden gibt es hier im Wiki Anleitungen:

[[Pidgin]] (früher Gaim) - Einen Schokokeks Jabber Account unter Pidgin einrichten.

[[Gajim]] - Einen Schokokeks Jabber Account unter Gajim einrichten.

[[Miranda]] - Einen Schokokeks Jabber Account unter Miranda einrichten.

=Links=
* [http://de.wikipedia.org/wiki/Jabber Jabber bei der Wikipedia] Artikel zu Jabber mit Clientliste

PHP

2008-05-02T14:50:57Z

Morpheus:

Einige Erklärungen zu bei uns gesetzten PHP-Optionen.

== Optionen ==

=== display_errors ===

Aus Sicherheitsgründen ist display_errors in den Standardeinstellungen von schokokeks.org deaktiviert. In Live-Systemen können die Fehlermeldungen von PHP-Skripten Angreifern oft Aufschluss über Systemeigenschaften geben.

Im Entwicklungsstadium ist display_errors oft sehr nützlich, es lässt sich über .htaccess wieder einschalten.

=== PHP-Optionen selbst beeinflussen. ===

mod_php erlaubt Nutzern, PHP-Optionen in der .htaccess zu beeinflussen. Um auch bei FastCGI Nutzern die Möglichkeit zu geben, PHP-Optionen selbst zu setzen, haben wir die htscanner-Extension installiert.

Ein Eintrag in der .htaccess könnte etwa lauten:

php_flag display_errors On

== Installierte Libraries ==

=== Installierte externe PHP-Libraries ===

Folgende PHP-Libraries sind systemweit installiert und werden regelmäßig aktualisiert:

* pecl-crack (cracklib-Interface)
* ZendFramework (objektorientiertes PHP-Framework)
* smarty (Template-System)

Vim verwenden

2008-05-02T14:49:11Z

Morpheus:

[[Category:UNIX-Tools]]
==Was ist VIM?==

VIM ist ein vi-Clone. vi ist der ''standard'' Unix-Texteditor. Anfangs wirkt das Konzept des VIMs etwas kryptisch, dies löst sich aber sehr schnell auf.

==Für was ist VIM gedacht==

Schlicht und einfach: für alles. Im Gegensatz zu Emacs ist Vim aber trotz alledem ein Texteditor und kein Pseudo-Betriebssystem.

=vi lernen=

Der folgende Teil gilt nicht nur für den VIM, welchen ich aufgrund seiner größeren Funktionalität bevorzugen würde, sondern ebenso für vi und andere vi-Klone.

==Bedienungskonzept==

===Modi===

VI-Clones unterscheiden zwischen verschiedenen Modi, d.h. es gibt mehrere Ebenen, in denen ein Editor arbeitet. Mit <code>esc</code> und einer Taste wechselt man zwischen diesen Modi. Die wichtigsten Modi sind der Einfügemodus (normal editieren) und der visuelle Modus.

====Tastenkombinationen====

;Verlässt einen Modus: <code>esc</code>

;Einfügemodus: <code>i</code>

;Visualmode: <code>v</code>

====Einfügenmodus====

=====Standardaktionen: Öffnen, Speichern, Schließen=====

Dateioperationen funktionieren nur dann, wenn kein Modus gewählt ist. D.h. zuerst verlässt du mit <code>esc</code> wieder den Modus und dann kann es beginnen.

=====Tastenkombinationen=====

;Öffnen: <code>:e [Pfad]</code>
;Speichern: <code>:w [Pfad - optional]</code>
;Schließen: <code>:q</code>
;Schließen und speichern: <code>:wq</code> oder <code>:x</code>

======Hinweis======

<code>!</code> ist das <code>--force</code> der VI-Clones. So überschreibt man eine schreibgeschützte Datei z.B. mit <code>:w!</code> oder verlässt den Editor ohne zu speichern mit <code>:q!</code>.

====Visueller Modus====

=====Kopieren, Ausschneiden & Einfügen=====

* Bereich selektieren
* <code>y</code> kopiert, <code>x</code> schneidet aus
* Den visuellen Modus verlassen: <code>ESC</code>
* mit <code>p</code> (unterhalb der aktuellen Zeile) bzw <code>shift + p</code> (oberhalb der aktuellen Zeile) einfügen

Sicherheit

2008-05-02T14:47:33Z

Morpheus:

Sicherheitsfeatures auf dem Keks.

== Abschaltung unsicherer SSL-Cipher ==

Mit folgender Einstellung für SSL-Cipher wird verhindert, dass alte Verfahren (SSLv2) oder solche mit niedrigen Verschlüsselungsstandards (MEDIUM, LOW) eingesetzt werden:
<pre>SSLv3:TLSv1:!SSLv2:HIGH:!LOW:!MEDIUM:!EXP:!NULL@STRENGTH</pre>

== Filter für Timestamps ==

Empfehlung von nessus, icmp-timestamps via iptables:
<pre>-A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 14 -j DROP</pre>

tcp-timestamps (sysctl):
<pre>net.ipv4.tcp_timestamps = 0</pre>

== TRACE/TRACK in Apache deaktiviert ==

TRACE/TRACK ist ein Debug-Feature, nessus empfiehlt Deaktivierung:

<pre>TraceEnable Off</pre>

== suidctl ==

Mittels des portage-features suidctl wird die Anzahl der SUID-Root-Programme auf das notwendigste reduziert.

E-Mail/Procmail

2008-05-02T14:41:56Z

Morpheus:

Mittels des Programms '''procmail''' können E-Mails direkt beim Eintreffen auf dem Server sortiert und gefiltert werden.

=Vorbereitung=
Zuerst sollten sie sich mit der grundsätzlichen Konfiguration unseres Mail-Servers vertraut machen. Eine Hilfestellung dazu bietet die Seite [[E-Mail/Manuelle Konfiguration/.courier-Dateien|über '''.courier'''-Dateien]].

Um '''procmail''' auszuführen, muss die '''.courier'''-Datei mindestens folgenden Inhalt haben:

|/usr/local/bin/preline -f /usr/bin/procmail

mit zusätzlichem Aufruf eines Spam- und Virenfiltern könnte die Datei auch so aussehen:

|/usr/local/bin/keks-user-qmail-ifvirus put ./Mail/.Virus/
|/usr/local/bin/keks-user-qmail-ifspam put ./Mail/.Spam/
|/usr/local/bin/preline -f /usr/bin/procmail

{{AlertBox
|title=Reihenfolge beachten
|content=Achten Sie darauf, dass die Reihenfolge innerhalb der Datei auch die Reihenfolge der Bearbeitung wiederspiegelt:
Sollte eine Mail als Spam erkannt werden, wird die Mail nicht mehr zu '''procmail''' durchgeleitet sondern z.B. in den Spam-Ordner verschoben
}}

=Konfiguration=
Die eigentliche Konfiguration sucht '''procmail''' in der Datei '''~/.procmailrc'''.

Aussehen könnte sie, recht selbsterklärend, wie folgt:
# ----------------------------------- main files and dirs
DEFAULT=${HOME}/Mail/
MAILDIR=${HOME}/Mail/
PMDIR=${HOME}/.procmail
# ----------------------- Logging
LOGFILE=${PMDIR}/procmail.log
VERBOSE=yes
LOGABSTRACT=all
# ----------------------------------- filters
INCLUDERC=${PMDIR}/lists.rc
INCLUDERC=${PMDIR}/catch-all.rc

Aufgrund einer besseren Übersicht, sind die Filter-Regeln im Ordner '''~/.procmail/''' als einzelne Dateien ausgelagert. Mittels INCLUDERC= werden diese in der Haupt-Konfigurationsdatei eingebunden. Speicherort und Dateiname können aber beliebig gewählt werden. Selbiges gilt für die Log-Datei.

Die Log-Datei kann weggelassen und die Filterregeln können in die '''.procmailrc''' geschrieben werden, beides ist jedoch nicht empfehlenswert.

=Filter=
erstellen wir eine Datei mit den Namen lists.rc im procmail-Ordner. (hier: /home/<user>/.procmail/)
Sie soll die Filterregeln aller Mailinglisten beinhalten.
hier exemplarisch ein Beispiel, dass die Syntax verdeutlichen soll:

# ---------------------------------------------- CCC Debatten Mailingliste
:0
* ^(To:|Cc:).*(debate@lists.ccc.de|debate@ccc.de)
.MLs.CCC-Debatten/

# ----------------------------------------------- LUG tuebingen
:0
* ^(To:|Cc:).*lug-tuebingen@jura.uni-tuebingen.de
.MLs.LnxGroupTue/

# ---------------------------------------------- tiles@home
:0
* ^Subject:.*[\tilesathome\]
.MLs.tiles@home/

Nach den selben Schemata lassen sich die Filter.rc-Dateien beliebig erweitern und neue *.rc-Dateien hinzufügen, '''INCLUDERC nicht vergessen!'''

http://www.64-bit.de/dokumentationen/netzwerk/f/002/DE-Mailserver-HOWTO-5.html Hier finden sie weitere Filtermöglichkeiten und eine genauere Beschreibung der Syntax

Logo

2008-05-02T14:38:23Z

Morpheus:

Hinweis: Im Gegensatz zum sonstigen Inhalt dieses Blogs sind die Logos nicht frei lizensiert. Selbstverständlich gestatten wir jedoch deren Nutzung, wenn auf uns verwiesen wird.

Wir freuen uns natürlich, wenn zufriedene Kunden auf uns als ihren Provider verweisen. Hierfür stellen wir einige Banner und Buttons zur Verfügung.

[[Bild:Schokokeks-88x31.png]]
"Klassischer" Web-Button im Format 88x31.

[[Bild:Schokokeks-80x15.png]]
Mini Web-Button im Format 80x15.

E-Mail/Autoresponder

2008-05-02T14:32:42Z

Morpheus:

[[Category:E-Mail]]
Manchmal ist es praktisch, wenn auf jede hereinkommende E-Mail an eine bestimmte Adresse eine automatische Antwort gesendet wird.

Zum Beispiel wenn eine Adresse nicht mehr benutzt wird oder wenn man für eine planbare Zeitspanne nicht erreichbar ist (Abwesenheitsnachricht).

==mailbot==

Für diesen Zweck gibt es das Programm '''mailbot'''. Um dieses zu benutzen, muss man lediglich ein Verzeichnis anlegen, das später die Daten (wie z.B. die Nachricht) enthalten soll.
In unserem Beispiel ist das das Verzeichnis ''/home/bernd/autoresponses/bernd@schokokeks.org''.
Dort muss eine Text-Datei (In diesem Beispiel '''message.txt''') erstellt werden, die den Text der Antwortmail enthält, die gesendet werden soll. Die Kopfdaten wie Empfänger und Betreff setzt Mailbot selbst auf passende Werte.
Eine Nachricht kann etwa so aussehen:

Diese Adresse wird nicht benutzt, bitte nutzen Sie stattdessen
die Adresse bernd@bwurst.org.

Gruß,
Bernd

Um Komplikationen aus dem Weg zu gehen, kann man auf Sonderzeichen und Umlaute verzeichten, dann wird die Nachricht bei jedem Empfänger immer korrekt angezeigt. Sollte man Sonderzeichen verwenden, dann muss man wissen, in welcher Kodierung die Textdatei geschrieben wurde. Entstand diese Datei auf dem Server selbst, so handelt es sich vermutlich um UTF-8-Kodierung. Die Kodierung lässt sich z.B. mit dem Befehl '''file -i''' herausfinden:
$ '''file -i message.txt'''
message.txt: text/plain; charset='''utf-8'''

So, jetzt ist der Autoresponder bereits zum Teil konfiguriert, er muss nun nurnoch in einer ''.courier''-Datei aufgerufen werden. Dabei muss das Programm mit einigen wichtigen Parametern aufgerufen werden. So z.B. in der Datei ''~/.courier'':
|/usr/bin/mailbot -A "From: Bernd Wurst <bernd@schokokeks.org>" -c utf-8 -d /home/bernd/autoresponses/bernd@schokokeks.org/bouncedb -t /home/bernd/autoresponses/bernd@schokokeks.org/message.txt
Die '''"''' sind nötig, um Leerzeichen un der Absenderadresse benutzen zu können.

Die verwendeten Parameter im Einzelnen:
'''-A "From: ..."'''
:Der Parameter '''-A''' erlaubt das Setzen beliebiger Kopfzeilen einer Nachricht. In diesem Fall wird der Absender korrekt gesetzt.

'''-c utf-8'''
:Dieser Parameter kontrolliert den Zeichensatz. Er kann weggelassen werden, wenn sich in der oben erstellten Datei keine Sonderzeichen oder Umlaute befinden, dann ist ''us-ascii'' die Voreinstellung.

'''-d ...'''
:Hier wird der Pfad zu einer Datenbank erwartet, in der mailbot verschiedene Daten speichert, z.B. an welche Adresse in den letzten Stunden bereits eine Nachricht versendet wurde. Diese Datei wird ggf. erstellt, lediglich das Verzeichnis muss existieren.

'''-t .../message.txt'''
:Hier wird die Textdatei mit dem Nachrichtentext erwartet.

Das Programm unterstützt noch weitere Optionen, zum Beispiel kann kontrolliert werden, wie viele Antworten maximal in einem bestimmten Intervall an eine Adresse besendet werden.
Die Hilfeseite ('''man mailbot''') erklärt weitere Parameter, hier eine Auswahl:

'''-D ''«Tage»'''''
:Zeitintervall in Tagen (Standard: 1 Tag) bis weitere Antworten an die selbe Adresse verschickt werden.

'''-s ''«Betreff»'''''
:Setzt den Betreff auf den genannten Wert (im Zweifel Anführungszeichen benutzen!) anstatt den Original-Betreff zu benutzen.

==Löschen oder nicht löschen==

Wenn man die Konfiguration so nutzt wie hier beschrieben, werden eingehende E-Mails nur beantwortet und dann gelöscht. Selbstverständlich kann man aber auch im Sinne einer Abwesenheitsbenachrichtigung die automatische Antwort nur parallel zu schalten und die E-Mail trotzdem normal zuzustellen. Dazu muss man einfach die weiteren Zeilen der ''.courier''-Datei wie üblich belassen.

Mit dieser Methode kann man natürlich auch einen Viren- oder Spamfilter vor die automatische Antwort setzen, sodass nur "saubere" E-Mails beantwortet werden.

SOCKS-Proxy (OpenSSH)

2008-05-02T14:30:57Z

Morpheus:

[[Kategorie:OpenSSH]]
Die aktuelle Version von OpenSSH erlaubt die Nutzung eines eingebauten Socks-Proxy. Das bedeutet, es wird ein SSH-Tunnel aufgebaut, der beliebigen Verkehr verschlüsselt bis zum Server transportiert und dort an die ursprüngliche Adresse weiterleitet.
== Warum ein SSH-Socks-Proxy? ==
Häufig, wenn man unterwegs ist, greift man über nicht vertrauenswürdige Netzwerke wie z.B. Internet-Cafe oder WLAN auf Dienste im Netz zu. In vielen Fällen kann jeder andere, der im selben Netzwerk ist, den Internet-Verkehr auf einfache Art mithören/-lesen.

Um Mails zu empfangen und zu versenden verwendet Schokokeks.org grundsätzlich eine verschlüsselte Verbindung, auch für Jabber und ICQ sind verschlüsselte Verbindungen möglich (SSL). Doch was ist mit dem Aufrufen von Internetseiten, die Verschlüsselung über SSL nicht unterstützen? Hier kommt nun der Socks-Proxy ins Spiel, der es ermöglicht, einen s.g. Tunnel aufzubauen, also allen Verkehr über einen sicheren Tunnel bis zur Gegenstelle zu übermitteln.

Es gäbe die Möglichkeit dies über ein VPN (Virtual Private Network) zu tun, was aufgrund von Implementierungsproblemen bisher nicht von Schokokeks.org unterstützt wird. Deshalb hier nun die Lösung via SSH.

==SSH Tunnel per OpenSSH==
In der Kommandozeile ausführen:
ssh -2 -N -l christian -D7070 schokokeks.org
Die einzelnen Optionen:
:-2 nur ssh2 verwenden
:-N kein Programm auf dem Keks ausführen
:-l der Benutzer mit dem auf den keks verbunden werden soll (Ihr Benutzername)
:-D gibt den lokalen Port an, der ist variabel und kann von Ihnen bestimmt werden.

Wenn Sie für den Keks [[SSH:Key-Login]] eingerichtet habt, können Sie die Option '''-f''' angeben, was dazu führt, dass <code>ssh</code> im Hintergrund läuft.

== SSH Tunnel mit Putty (Linux und Windows) erstellen ==
[[Image:putty.png|thumb|Tunnel Konfiguration (Putty)]]
Hierzu wird Putty gestartet. Das Feld »Hostname« im Punkt »Session« mit '''schokokeks.org''' ausfüllen. Nun zum Reiter »Tunnels« wechseln und - wie auf dem Bild gezeigt - bei »Source Port« die '''7070''' eintragen und unten auf »Dynamic« stellen. Danach auf ''Add'' klicken um die Regel hinzu zu fügen.

Die Einstellungen kann man nun unter Sessions speichern. So ist in Zukunft diese Einstellung nicht mehr notwendig. Wenn man nun auf ''Open'' klickt, muss man Benutzername und Passwort eingeben. Man ist nun auf Schokokeks.org eingeloggt und solange man dieses Fenster nicht schließt besteht der Tunnel und man kann über diesen Tunnel auch surfen, wenn man die Einstellungen im Browser getätigt hat.

== Den Webbrowser für die Nutzung konfigurieren ==
[[Image:Proxy.png|thumb|SOCKS Konfiguration (Firefox)]]

Um nun den Webbrowser für die Nutzung zu konfigurieren, müssen Sie die Verbindungseinstellungen ändern. Hierzu auf manuelle Proxy-Konfiguration klicken. Bei SOCKS '''localhost''' angeben und hinten den oben bestimmten Port (hier 7070) einfügen.

Mit dieser Einstellung findet jeder Aufruf einer Internetseite nur noch über den verschlüsselten Tunnel statt.

== Verwenden von tsocks ==
Manche Programme unterstüzten leider die Verwendung eines SOCKS-Proxies nicht. Unter Linux gibt es hierfür einen Wrapper [http://tsocks.sourceforge.net/ tsocks]. Die Konfigurationsdatei /etc/socks/tsocks.conf sollte wie folgt aussehen:
server = localhost
server_port = 7070
server_type = 4
Danach einfach die benötigten Programme so starten:
tsocks <Programm> <Programmoptionen>

Benutzer:Morpheus

2008-05-02T14:27:17Z

Morpheus:

Gruppe: Qualitätssicherung (QA)

Zuständig für deutsche Rechtschreibung. ;-)

Benutzer:Morpheus

2008-05-02T14:26:52Z

Morpheus:

Gruppe: Qualitätssicherung (QA)
- Zuständig für deutsche Rechtschreibung.

;-)

DynDNS

2008-05-02T14:24:16Z

Morpheus:

[[Kategorie:DNS]]

Wir verwalten den Namensraum unserer Domains selbst auf unserem eigenen DNS-Server.

==DNS-Server==

Wie ein DNS-Server und das ganze DNS funktioniert, wäre jetzt etwas lang zum erklären, aber grundsätzlich ist es so:

:jeder hostname wie z.B. ''bla.dyn.schokokeks.org'' wird vom DNS-Server in eine IP-Adresse aufgelöst.

:Wenn man normalerweise im Internet einen hostname eintippt, wird der Eintrag vom DNS-Cache des Providers aber zwischengespeichert (i.d.R. 2 Tage).

==DynDNS==

Das Problem eines Computers, der mit einer dynamischen Adresse im Internet hängt teilt sich also in die beiden Bereiche: der zuständige DNS-Server muss wissen, wie die aktuelle IP des Rechners ist und diese in seinen DNS-Daten richtig eintragen. Und zweitens muss die Zeit, die die Daten im Zwischenspeicher bleiben drastisch reduziert werden.

Ein Server, der diese beiden Dienste anbietet, nennt man DynDNS.

Auf unserem Server bieten wir die Möglichkeit an, diesen Dienst zu nutzen.
Dazu bekommt der Nutzer einen Zugang über den die jeweils aktuelle IP-Adresse zum Zeitpunkt der Wiedereinwahl aktualisiert werden kann.
Aus diesen Daten wird dann ein Hostname im DNS-Server erstellt, der eine Gültigkeit von 120 Sekunden hat. Das bedeutet, nach spätestens 120 Sekunden muss jeder Nameserver im Internet wieder bei unserem Server nachfragen, ob die Adresse noch stimmt.

Dadurch erreicht man eine sehr hohe Verfügbarkeit.

==Das Update==

===per SSH===

Das Update der aktuellen Adresse erfolgt bequem per SSH mit einem [[Key-Login (OpenSSH)|SSH-Key]]. Sobald der Rechner mit dem passenden private-key eine Verbindung zum Server aufbaut, wird die IP-Adresse aktualisiert.

Dazu ist ein Key zu erstellen (geschickter weise ohne Passwort) und der nötige public-key muss auf dem Server (von einem Admin) eingefügt werden.

Das Update selbst führt man am einfachsten aus, im dem man den Befehl
:<pre>ssh -q -T dnsupdate@schokokeks.org</pre>
bei jeder Einwahl ausführt.

Eventuell möchte man eine spezielle SSH-Key-Datei angeben, das macht man dann mit '''-i pfad/zur/id_rsa'''.

Unser DNS-Server meldet ein erfolgreiches Update mit der Meldung '''good ''ipadresse'''''. Eventuell möchte man diese Meldung nicht sehen, sondern nur wenn das Update fehlgeschlagen ist. Dann kann man den Befehl noch um den Anhang ''| grep -v -e "good "'' erweitern.

===per HTTPS===

Es kamen immer wieder Anfragen, ob man unsere DynDNS-Einträge auch per https aktualisieren kann. Offenbar gibt es Hardware-Router, die mit dem Service von dnydns.org kompatibel sind und trotzdem einen frei wählbaren update-Server-Name erlauben.

Daher ist auch unser HTTP-update-Service mit dem von dyndns.org kompatibel.

Technisch funktioniert das so:
Es wird die URL
:<nowiki>https:</nowiki>//'''[user]''':'''[password]'''@dyndns.schokokeks.org/nic/update?myip='''[IP]'''
aufgerufen. Dyndns.org kennt noch mehr Parameter, die sind für uns aber unerheblich.

:'''[user]''' ist wie beim ssh-update der alias des Eintrages, also der Dateiname in ~dnsupdate/dyndns in dem die Daten liegen.
:'''[password]''' ist das Passwort, das wird in /home/webadmin/dyndns-update/userdb verwaltet (mit htpasswd)
:'''[IP]''' ist die aktuelle IP des Clients. Der Parameter ist optional, wenn er angegeben wird hat er Priorität gegenüber dem was der Webserver als REMOTE_ADDR sagt.

Aufgrund der Tatsache, dass viele Hardware-Router das Update nur über HTTP und nicht über HTTPS durchführen können, wurde unsere Richtlinie in diesem Punkt etwas gelockert. Das Update darf nun auf gleiche Art und Weise auch über HTTP gemacht werden. Sofern HTTPS vom benutzen Gerät unterstützt wird, ist dies natürlich zu bevorzugen!

== DynDNS-Update mit einem DD-WRT-Router ==

Sofern man einen Router mit der Linux-Firmware DD-WRT hat, kann man diesen für das DynDNS-Update benutzen.
Dazu muss folgendes eingetragen werden:

DDNS-Service: DynDNS.org
Nutzername: USERNAME
Passwort: PASSWORT
Hostname: HOSTNAME --dyndns_server_name dyndns.schokokeks.org --dyndns_server_url /nic/update?

Der Hostname wird nur gebraucht um herauszufinden ob ein Update nötig ist. Beachten Sie, dass die zusätzlichen Parameter mit in das Feld für den Hostname eingetragen werden müssen!

Benutzer:Morpheus

2008-05-02T14:21:52Z

Morpheus: Die Seite wurde neu angelegt: Zuständig für deutsche Rechtschreibung. ;-)

Zuständig für deutsche Rechtschreibung. ;-)