schokokeks.org Wiki - Benutzerbeiträge [de]

SSL-Zertifikat

2008-09-12T21:26:10Z

Ruderich: typo

{{UnderConstruction}}
Um Seiten verschlüsselt übertragen zu können, benötigt man ein SSL-Zertifikat. Das SSL-Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.

== Zertifizierungsstellen ==

===Kommerziellen Anbieter===

Der traditionelle Weg zur Identitäts-Beglaubigung führt über sogenannte ''Certification Authorities'' (CAs). Diese Firmen stellen nach einer Prüfung der persönlichen Daten ein Zertifikat aus, das eine begrenzte Gültigkeit besitzt. Nach Ablauf dieser Frist, muss das Zertifikat erneuert werden.

Diese Methode hat unserer Auffassung nach zwei elementare Nachteile:
# Die Prüfung der Identität wird dem Website-Betreiber sehr teuer in Rechnung gestellt. Den Preis für ein derartiges Zertifikat kann sich eine kleine Firma wie schokokeks.org Webhosting nicht leisten.
# Der Aussteller des Zertifikats ist eine kommerzielle Firma und keine Staatliche Organisation. Ein Besucher einer Website, die mit einem derartigen Zertifikat identifiziert wird, muss nun dieser Firma bedingungslos vertrauen, denn nur dann funktioniert dieses Prinzip.

===CAcert.org===

Alternativ gibt es einen moderneren Ansatz, der auf einem ''Web-of-Trust'' (Vertrauens-Netzwerk) basiert und so funktioniert:
* Jeder Benutzer des Internet kann sich kostenlos und unverbindlich bei der Website des Betreibers (ein Verein) anmelden.
* Er wird lediglich über eine E-Mail-Adresse identifiziert, die per Bestätigungs-E-Mail überprüft wird.
* Dann gibt es ein Punkte-System, bei dem erfahrene Benutzer (mit vielen Punkten) Punkte an neue Benutzer vergeben können. Dabei prüft der erfahrene Benutzer die staatlichen Ausweispapiere bei einem '''persönlichen Treffen''' und unterschreibt, dass der betreffende Benutzer diesen Namen trägt. Diese Unterschrift leistet er auch elektronisch, wodurch der neue Benutzer Punkte bekommt.
* Sobald der neue Benutzer die Unterschriften von mehreren (mind. 3) unabhängigen anderen Benutzern erhalten hat, kann er auch selbst neue Benutzer beglaubigen.
* Mit der Beglaubigung durch 2 erfahrene Benutzer wird der Name in das Profil eingetragen und der Benutzer kann SSL-Zertifikate mit seinem Namen versehen.

Dieses Verfahren löst die beiden elementaren Nachteile des oberen Systems:
# Die Identitäts-Prüfung muss nicht von einer Firma erledigt werden, dadurch ist die Zertifikats-Vergabe kostenlos
# Die Identität des Benutzer wird immer durch mehrere Personen beglaubigt.

Der Nachteil dieses Systems liegt leider momentan noch darin, dass der Betreiber-Verein nicht die finanziellen Mittel hat, die sehr teuren Überprüfungen zu absolvieren, die nötig sind um in den Lieferumfang der bekannten Browser hinein zu kommen.

== Unsere Zertifizierungsstelle ==
Aufgrund der oben genannten Vorteile nutzen wir Zertifikate von [http://www.cacert.org CAcert]. Beim ersten Aufruf einer von CAcert beglaubigten Website erhalten Besucher leider eine Warnung, dass das Zertifikat nicht vertrauenswürdig sei.
Es ist jedoch sehr einfach, die nötigen Zertifikate im Browser zu installieren, sodass künftig alle von CAcert beglaubigten Websites ohne diese Warnung aufgerufen werden können.

=== Das Root-Zertifikat ===
...

[[Kategorie:SSL]]

Kategorie:SSL

2008-09-12T21:14:00Z

Ruderich: Die Seite wurde neu angelegt: Imformationen über SSL und seine Verwendung.

Imformationen über SSL und seine Verwendung.

SNI

2008-09-12T21:07:25Z

Ruderich: typo, + Kategorie:SSL

Klassischerweise erlaubt die SSL-Protokollschicht pro IP-Adresse und TCP-Port nur ein Zertifikat. Wenn also mehrere (virtuelle) Hosts unter der selben IP-Adresse erreichbar sind, wie es bei Websites üblich ist, kann der im Zertifikat fest eingetragene Hostname nur für eine einzige Adresse gültig sein. Alle anderen Adressen erhalten das für sie unpassende Zertifikat.

= Server Name Indication =

Für dieses Problem gibt es seit kurzer Zeit eine Lösung: '''Server Name Indication''' (beschrieben in RFC 3546). Diese Erweiterung des TLS-Protokolls ermöglicht, vor Übertragung des Zertifikats den gewünschten Hostname zu übertragen. Damit wird es möglich, pro virtuellen Host ein Zertifikat zu hinterlegen.

== Unterstützung Serverseitig ==

OpenSSL unterstützt SNI seit kurzem in der Version 0.9.8f. GnuTLS unterstützt SNI schon deutlich länger, seit 0.5.10. Für Apache ist momentan noch ein [http://issues.apache.org/bugzilla/show_bug.cgi?id=34607 Patch] notwendig. Für lighttpd ist SNI ebenfalls [http://trac.lighttpd.net/trac/ticket/386 in Arbeit].

== Unterstützung Browser ==

Mozilla Firefox und Opera unterstützen SNI schon länger problemlos, Internet Explorer erst ab Version 7. Ebenso unterstützen fast alle Mozilla-basierenden Browser SNI (bspw. Epiphany). Konqueror unterstützt SNI bislang überhaupt nicht, es wird vermutlich mit KDE 4.1 kommen. Ebenso unterstützt Safari bislang kein SNI.

Insbesondere die Unterstützung durch den aktuellen Internet-Explorer lässt hoffen, dass diese Technik in naher Zukunft großflächig eingesetzt werden kann, sobald von Safari und Konqueror die nächsten Versionen erscheinen.

== Weitere Software ==

Theoretisch lässt sich SNI auch für andere Systeme außer http, die virtuelle Hosts nutzen, einsetzen, etwa Jabber/XMPP. Über den Stand der Unterstützung ist uns noch nichts bekannt.

== Links/Hintergründe ==

* [http://www.rfc-archive.org/getrfc.php?rfc=3546 RFC 3546]
* [http://wiki.cacert.org/wiki/VhostTaskForce VhostTaskForce bei CAcert]
* [http://hboeck.de/archives/556-https-with-multiple-certs-on-one-IP.html Blog-Artikel (englisch) von Hanno Böck]
* [http://www.schokokeks.org/blog/eigene_ssl_zertifikate_f_r_kunden Blog-Artikel bei schokokeks.org]
* [http://www.schokokeks.org/blog/presseinformation_schokokeks_org_setzt_f_r_ssl_zertifikate_auf_sni Presseinformation von schokokeks.org]

[[Kategorie:SSL]]

Kategorie:E-Mail/Mailinglisten

2008-09-12T20:48:03Z

Ruderich: Die Seite wurde neu angelegt: Mailinglisten.

Mailinglisten.

E-Mail/Mailinglisten/MHonArc

2008-09-12T20:44:38Z

Ruderich: + Kategorie:E-Mail/Mailinglisten

[http://www.mhonarc.org/ MHonArc] ist ein Perl-Skript, um E-Mail-Archive in HTML umzuwandeln.

== Benutzung ==
=== Erstellen ===
Der Standardaufruf zum Erstellen eines HTML-Archivs ist
mhonarc /pfad/zum/archiv
Das Archiv soll im [http://en.wikipedia.org/wiki/MH_Message_Handling_System MH-] oder im [http://en.wikipedia.org/wiki/UUCP UUCP-Format] vorliegen.
Das von [[E-Mail/Mailinglisten/couriermlm|couriermlm]] automatisch angelegte Archiv wird beispielsweise unterstützt.

Die Ausgabe erfolgt dabei im aktuellen Verzeichnis. Ändern lässt sich dies über den Parameter ''-outdir'':
mhonarc -outdir /home/benutzer/websites/lists.example.com/htdocs/archive /home/benutzer/mailinglists/mylist/archive

=== Aktualisieren ===
Soll das Web-Archiv nicht neu angelegt, sondern nur aktualisiert werden, wird die Option ''-add'' angegeben:
mhonarc -add /home/benutzer/mailinglists/mylist/archive
Der Befehl funktioniert auch mit einer einzelnen Datei. Ohne Angabe von einem Verzeichnis liest mhonarc von der Standardeingabe:
mhonarc -add < new.msg
cat new.msg | mhonarc -add
Bereits archivierte Nachrichten werden automatisch übersprungen.

== Ausgabe anpassen ==
Die Ausgabe lässt sich nach allen Wünschen anpassen. Mehr dazu steht in dem [http://www.mhonarc.org/MHonArc/doc/mhonarc.html Handbuch], insbesondere im Kapitel ''Page Layout''.

Mittels ''[http://www.mhonarc.org/MHonArc/doc/resources/rcfile.html rcfiles]'' lassen sich Ausgabe-Templates erstellen ([http://www.mhonarc.org/MHonArc/doc/app-rcfileexs.html Beispiele]) und sogar Zusatzfunktionen wie RSS-Feeds ([http://www.forwardlook.net/features/rc-rss20.txt rcfile]) realisieren.

== Alternative ==
Alternativ zu MHonArc kann auch [[E-Mail/Mailinglisten/lurker|lurker]] verwendet werden.

== Links ==
* http://www.mhonarc.org/
* [http://www.mhonarc.org/MHonArc/doc/ Dokumentation]

[[Kategorie:E-Mail/Mailinglisten]]

E-Mail/Mailinglisten/couriermlm

2008-09-12T20:44:29Z

Ruderich: typo

Mit ''couriermlm'', dem Courier Mailing List Manager, kann jeder Benutzer selbst Mailinglisten anlegen und verwalten. Das Programm unterstützt Listen, Subscriptions, Digests, Moderation und legt automatisch ein Archiv in Form von einzelnen Dateien pro Nachricht im mbox-Format an.

Um das Archiv auch als Web-Archiv zugänglich zu machen, ist eine zusätzliche Archiv-Software nötig. Dafür kann zum Beispiel [[E-Mail/Mailinglisten/MHonArc|MHonArc]] oder [[E-Mail/Mailinglisten/lurker|lurker]] verwendet werden.

Diese Anleitung behandelt nur die wichtigsten Punkte. Weitere Befehle und Einstellungsmöglichkeiten sind in der [http://www.courier-mta.org/couriermlm.html offiziellen Dokumentation] nachzulesen.

== Mailingliste erstellen ==
Eine Mailingliste erstellt man mit
couriermlm create ''directory'' ADDRESS=list@domain
Optional können weitere Parameter angegeben werden:
couriermlm create ''directory'' --lang=de ADDRESS=list@domain URL=url

''directory'' ist der absolute Pfad zu dem Verzeichnis, in dem alle Dateien von couriermlm abgelegt werden. Dieses Verzeichnis sollte noch nicht existieren und wird automatisch erstellt.

== Konfiguration ==
=== .courier-Dateien ===

couriermlm wird über die Schnittstelle der .courier-Dateien in das E-Mail-System eingebunden. Daher ist es dabei auch möglich, beliebige E-Mail-Adressen als Mailingliste zu benutzen, auch wenn andere Adressen der selben selben Domain für andere Zwecke benutzt werden.

Folgende .courier-Dateien werden benötigt (ersetzen Sie ''list'' durch eine beliebige Namens-Konstruktion für [[E-Mail/Manuelle Konfiguration/.courier-Dateien|.courier-Dateien]]):

* .courier-list
| /usr/bin/couriermlm msg ''directory''
* .courier-list-owner
Diese Adresse sollte an ein Postfach des Mailinglisten-Besitzers weitergeleitet werden.
* .courier-list-default
| /usr/bin/couriermlm ctlmsg ''directory''

=== Optionen ändern ===
Mit dem Befehl
couriermlm set ''directory'' ''option=value'' ''option=value''
lassen sich die Optionen im Nachhinein verändern. Sie werden in der Datei ''options'' im Mailinglistenverzeichnis gespeichert.

Beispielkonfiguration:
NAME=Ihr Name
POST=subscribers
POSTARCHIVE=subscribers
SIMPLECONFIRM=0
SUSBSCRIBE=mod
CASESENSITIVE=0
--lang=de
ADDRESS=mylist@example.net
URL=http://lists.example.net/archive/mylist/

Die Bedeutung der Optionen wird im Abschnitt ''SETTING MAILING LIST OPTIONS'' der [http://www.courier-mta.org/couriermlm.html manpage] erläutert.

=== Templates ===
Beim Erstellen werden in dem gewählten Verzeichnis diverse Templates mit der Endung '''.tmpl''' angelegt. Diese können einfach mit einem Texteditor verändert werden.

== Links ==
* [http://www.courier-mta.org/couriermlm.html offizielle Dokumentation]

[[Kategorie:E-Mail/Mailinglisten]]

E-Mail/Mailinglisten

2008-09-12T20:43:19Z

Ruderich: typo

Eine [http://de.wikipedia.org/wiki/Mailingliste Mailingliste] ist eine Liste von E-Mail-Adressen, die unter einer einzigen Adresse zusammengefaßt werden. Eine an diese Adresse verschickte Mail wird automatisch an alle Mitglieder der Liste verteilt. Mailinglisten bieten dabei noch weitere Möglichkeiten wie zum Beispiel Moderation oder eine automatische An- und Abmeldung.

Wir stellen mehrere Programme bereit, mit denen Mailinglisten erstellt und verwaltet werden können.

== Mailman ==

Zum Verwalten der Mailinglisten (mit allem was dazu gehört) über eine Browser-Schnittstelle eignet sich [http://www.gnu.org/software/mailman/ Mailman].

Mailman hat leider '''KEINE''' Unterstützung für mehrere Domains, d.h. ihn interessiert es nicht, was hinter dem @ steht. Wir können gerne jede beliebige Subdomain dem Mailman zuordnen (meist "lists.foobar.de"), aber der Listenname (Teil vor dem @) muss trotzdem systemweit eindeutig sein. Daher bitte keine allzu allgemeinen Listennamen verwenden.

Listen initial anlegen muss ein Admin, danach kann der Benutzer selbst den Rest konfigurieren. Wenn Sie also eine Liste benötigen, einfach eine Mail mit den folgenden Informationen an die Administratoren schicken:
*Wer soll die Mailingliste verwalten (Mailadresse)
*Der Name der Liste (Teil vor dem @)
*Optional, wenn nicht "lists.schokokeks.org", welche Subdomain wir als Listen-Domain einrichten sollen.

== Courier / couriermlm ==

Alternativ kann man eine Mailingliste selber als Benutzer mit [[/couriermlm|couriermlm]] anlegen. Dazu muss die betreffende Domain für [[E-Mail/Manuelle Konfiguration|Manuelle Konfiguration]] eingerichtet sein.

[[Kategorie:E-Mail/Mailinglisten]]

DynDNS

2008-09-12T20:27:00Z

Ruderich: typo

Wir verwalten den Namensraum unserer Domains selbst auf unserem eigenen DNS-Server.

==DNS-Server==

Wie ein DNS-Server und das ganze DNS funktioniert, wäre jetzt etwas lang zum erklären, aber grundsätzlich ist es so:

:jeder Hostname wie z.B. ''bla.dyn.schokokeks.org'' wird vom DNS-Server in eine IP-Adresse aufgelöst.

:Wenn man normalerweise im Internet einen Hostname eintippt, wird der Eintrag vom DNS-Cache des Providers aber zwischengespeichert (in der Regel zwei Tage).

==DynDNS==

Das Problem eines Computers, der mit einer dynamischen Adresse im Internet hängt, teilt sich also in die beiden Bereiche: der zuständige DNS-Server muss wissen, wie die aktuelle IP des Rechners ist und diese in seinen DNS-Daten richtig eintragen. Und zweitens muss die Zeit, die die Daten im Zwischenspeicher bleiben drastisch reduziert werden.

Ein Server, der diese beiden Dienste anbietet, nennt man DynDNS.

Auf unserem Server bieten wir die Möglichkeit an, diesen Dienst zu nutzen. Dazu bekommt der Nutzer einen Zugang über den die jeweils aktuelle IP-Adresse zum Zeitpunkt der Wiedereinwahl aktualisiert werden kann. Aus diesen Daten wird dann ein Hostname im DNS-Server erstellt, der eine Gültigkeit von 120 Sekunden hat. Das bedeutet, nach spätestens 120 Sekunden muss jeder Nameserver im Internet wieder bei unserem Server nachfragen, ob die Adresse noch stimmt.

Dadurch erreicht man eine sehr hohe Verfügbarkeit.

==Das Update==

===per SSH===

Das Update der aktuellen Adresse erfolgt bequem per SSH mit einem [[Key-Login (OpenSSH)|SSH-Key]]. Sobald der Rechner mit dem passenden privaten Schlüssel (private-key) eine Verbindung zum Server aufbaut, wird die IP-Adresse aktualisiert.

Dazu ist ein Key zu erstellen (geschickterweise ohne Passwort) und der nötige öffentliche Schlüssel (public-key) muss auf dem Server (von einem Admin) eingefügt werden.

Das Update selbst führt man am einfachsten aus, im dem man den Befehl
ssh -q -T dyndns@schokokeks.org
bei jeder Einwahl ausführt.

Eventuell möchte man eine spezielle SSH-Key-Datei angeben, das macht man dann mit '''-i pfad/zur/id_rsa'''.

Unser DNS-Server meldet ein erfolgreiches Update mit der Meldung '''good ''ipadresse'''''. Eventuell möchte man diese Meldung nicht sehen, sondern nur wenn das Update fehlgeschlagen ist. Dann kann man den Befehl noch um den Anhang ''| grep -v -e "good "'' erweitern.

===per HTTPS===

Es kamen immer wieder Anfragen, ob man unsere DynDNS-Einträge auch per HTTPS aktualisieren kann. Offenbar gibt es Hardware-Router, die mit dem Service von dnydns.org kompatibel sind und trotzdem einen frei wählbaren update-Server-Name erlauben.

Daher ist auch unser HTTP-update-Service mit dem von dyndns.org kompatibel.

Technisch funktioniert das so:
Es wird die URL
:<nowiki>https:</nowiki>//'''[user]''':'''[password]'''@dyndns.schokokeks.org/nic/update?myip='''[IP]'''
aufgerufen. Dyndns.org kennt noch mehr Parameter, die sind für uns aber unerheblich.

:'''[user]''' ist wie beim ssh-update der alias des Eintrages, also der Dateiname in ~dnsupdate/dyndns in dem die Daten liegen.
:'''[password]''' ist das Passwort, das wird in /home/webadmin/dyndns-update/userdb verwaltet (mit htpasswd).
:'''[IP]''' ist die aktuelle IP des Clients. Der Parameter ist optional, wenn er angegeben wird hat er Priorität gegenüber dem was der Webserver als REMOTE_ADDR sagt.

Aufgrund der Tatsache, dass viele Hardware-Router das Update nur über HTTP und nicht über HTTPS durchführen können, wurde unsere Richtlinie in diesem Punkt etwas gelockert. Das Update darf nun auf gleiche Art und Weise auch über HTTP gemacht werden. Sofern HTTPS vom benutzen Gerät unterstützt wird, ist dies natürlich zu bevorzugen!

== DynDNS-Update mit einem DD-WRT-Router ==

Sofern man einen Router mit der Linux-Firmware DD-WRT hat, kann man diesen für das DynDNS-Update benutzen.
Dazu muss folgendes eingetragen werden:

DDNS-Service: DynDNS.org
Nutzername: USERNAME
Passwort: PASSWORT
Hostname: HOSTNAME --dyndns_server_name dyndns.schokokeks.org --dyndns_server_url /nic/update?

Der Hostname wird nur gebraucht um herauszufinden ob ein Update nötig ist. Beachten Sie, dass die zusätzlichen Parameter mit in das Feld für den Hostname eingetragen werden müssen!

== DynDNS-Update mit einem Router von AVM ==

Besitzer eines Routers vom Hersteller AVM können den in die Firmware integrierten DynDNS-Client leider nicht benutzen. Wer keine gemoddete Firmware einspielen möchte, der kann mit folgendem Workaround seinen eigenen DynDNS-Client (ohne Verschlüsselung) auf dem Router betreiben.

Zunächst muss der Telnet-Server auf der Fritz!Box aktiviert werden, was sich z.B. durch das Drücken der Tastenfolge #96*7* an einem analogen Telefon bewerkstelligen lässt. Danach kann man sich mit einem Telnet-Client auf dem Router einloggen und folgende Zeilen eingeben:

cat >> /var/dyndns.sh << EOF
#!/bin/sh
while true; do
wget -q http://benutzername:passwort@dyndns.schokokeks.org/
sleep 300
done
EOF

Anschließend muss nur noch das soeben erstellte Skript gestartet werden. (Das Skript bleibt nur bis zum nächsten Neustart des Routers im Speicher.)

[[Kategorie:DNS]]

Freewvs

2008-09-11T16:56:10Z

Ruderich: typo

Webanwendungen, insbesondere PHP-Applikationen, sind besonders häufig von Sicherheitsproblemen betroffen. Deshalb ist es besonders wichtig, solche Anwendungen zeitnah zu aktualisieren.

Um Ihnen für diesen Zweck ein Werkzeug in die Hand zu geben und zudem um uns eine Möglichkeit zu geben, unseren Server auf Schwachstellen zu prüfen, haben wir ein eigenes Programm entwickelt: freewvs (»free web vulnerability scanner«). Dieses Programm erkennt, welche Anwendung in welcher Version installiert ist und schlägt ggf. vor, welche Version mindestens installiert sein sollte um keine aktuell bekannten Sicherheitslücken zu haben.

= Download =

freewvs ist freie Software unter der GPL 3: http://source.schokokeks.org/freewvs/

Es steht auch eine [[/FAQ|FAQ]] zur Verfügung (englisch).

= Anwendung auf schokokeks.org =

Für unsere Benutzer ist systemweit dieses Programms installiert, das mittels

freewvs [pfad zum docroot]

benutzt werden kann.

=Automatische Überprüfungen=

Zusätzlich besteht auch die Möglichkeit, sich automatisch über Probleme benachrichtigen zu lassen. Als Benutzer von schokokeks.org können Sie im Webinterface unter dem Punkt [https://config.schokokeks.org/go/freewvs/freewvs.php freewvs] das Intervall der automatischen Überprüfung einstellen.

Damit werden alle Ihre Domains und Subdomains automatisch geprüft und Sie erhalten die Ergebnisse ggf. per E-Mail.

Mail:Passwort ändern

2008-09-11T16:50:15Z

Ruderich: Redirect auf E-Mail-Passwort ändern

#REDIRECT [[E-Mail-Passwort ändern]]

SOCKS-Proxy (OpenSSH)

2008-09-11T16:44:13Z

Ruderich: typo

Die aktuelle Version von OpenSSH erlaubt die Nutzung eines eingebauten Socks-Proxy. Das bedeutet, es wird ein SSH-Tunnel aufgebaut, der beliebigen Verkehr verschlüsselt bis zum Server transportiert und dort an die ursprüngliche Adresse weiterleitet.

== Warum ein SSH-Socks-Proxy? ==
Häufig, wenn man unterwegs ist, greift man über nicht vertrauenswürdige Netzwerke wie z.B. Internet-Cafe oder WLAN auf Dienste im Netz zu. In vielen Fällen kann jeder andere, der im selben Netzwerk ist, den Internet-Verkehr auf einfache Art mithören/-lesen.

Um Mails zu empfangen und zu versenden verwendet Schokokeks.org grundsätzlich eine verschlüsselte Verbindung, auch für Jabber und ICQ sind verschlüsselte Verbindungen möglich (SSL). Doch was ist mit dem Aufrufen von Internetseiten, die Verschlüsselung über SSL nicht unterstützen? Hier kommt nun der Socks-Proxy ins Spiel, der es ermöglicht, einen sogenannten Tunnel aufzubauen, also allen Verkehr über einen sicheren Tunnel bis zur Gegenstelle zu übermitteln.

Es gäbe die Möglichkeit dies über ein VPN (Virtual Private Network) zu tun, was aufgrund von Implementierungsproblemen bisher nicht von Schokokeks.org unterstützt wird. Deshalb hier nun die Lösung via SSH.

==SSH Tunnel per OpenSSH==
In der Kommandozeile ausführen:

ssh -2 -N -l christian -D7070 schokokeks.org

Die einzelnen Optionen:
:-2 nur ssh2 verwenden
:-N kein Programm auf dem Keks ausführen
:-l der Benutzer mit dem auf den keks verbunden werden soll (ihr Benutzername).
:-D gibt den lokalen Port an, dieser ist variabel und kann von Ihnen bestimmt werden.

Wenn Sie für den Keks [[Key-Login (OpenSSH)|SSH Key-Login]] eingerichtet haben, können Sie die Option '''-f''' angeben, was dazu führt, dass <code>ssh</code> im Hintergrund läuft.

== SSH Tunnel mit Putty (Linux und Windows) erstellen ==
[[Image:putty.png|thumb|Tunnel Konfiguration (Putty)]]
Hierzu wird Putty gestartet. Das Feld »Hostname« im Punkt »Session« mit '''schokokeks.org''' ausfüllen. Nun zum Reiter »Tunnels« wechseln und - wie auf dem Bild gezeigt - bei »Source Port« die '''7070''' eintragen und unten auf »Dynamic« stellen. Danach auf ''Add'' klicken um die Regel hinzu zu fügen.

Die Einstellungen kann man nun unter Sessions speichern. So ist in Zukunft diese Einstellung nicht mehr notwendig. Wenn man nun auf ''Open'' klickt, muss man Benutzername und Passwort eingeben. Man ist nun auf Schokokeks.org eingeloggt und solange man dieses Fenster nicht schließt besteht der Tunnel und man kann über diesen Tunnel auch surfen, wenn man die Einstellungen im Browser getätigt hat.

== Den Webbrowser für die Nutzung konfigurieren ==
[[Image:Proxy.png|thumb|SOCKS Konfiguration (Firefox)]]

Um nun den Webbrowser für die Nutzung zu konfigurieren, müssen Sie die Verbindungseinstellungen ändern. Hierzu auf manuelle Proxy-Konfiguration klicken. Bei SOCKS '''localhost''' angeben und hinten den oben bestimmten Port (hier 7070) einfügen.

Mit dieser Einstellung findet jeder Aufruf einer Internetseite nur noch über den verschlüsselten Tunnel statt.

== Verwenden von tsocks ==
Manche Programme unterstüzten leider die Verwendung eines SOCKS-Proxies nicht. Unter Linux gibt es hierfür einen Wrapper [http://tsocks.sourceforge.net/ tsocks]. Die Konfigurationsdatei /etc/socks/tsocks.conf sollte wie folgt aussehen:
server = localhost
server_port = 7070
server_type = 4
Danach einfach die benötigten Programme so starten:
tsocks <Programm> <Programmoptionen>

[[Kategorie:OpenSSH]]

Key-Login (OpenSSH)

2008-09-11T16:42:36Z

Ruderich: typo, etwas umstrukturiert

==Normaler Login mit Passwort==
Das Anmelden per SSH auf einem Rechner funktioniert normalerweise über eine Passwortabfrage. Der Benutzer wird nach seinem Passwort gefragt, um sich auf dem entfernten Rechner zu authentifizieren.

Die Authentifizierung über ein Passwort ist immer dann sehr unhandlich, wenn es schnell gehen soll. Ebenso für Cron müssen interaktive Abfragen vermieden werden. Nun soll das Verfahren aber trotz alledem sicher sein. Aus diesem Grund sollte man SSH-Authentifizierung durch einen Schlüssel wählen. Konkret heißt das, der Benutzer legt sich einen Schlüssel an. Dieser Schlüssel besteht aus zwei Teilen, einem privaten und einem öffentlichen (s.g. Public Key Kryptographie). Der öffentliche Schlüssel wird nun auf dem Server hinterlegt. Wenn nun der User sich auf den Server verbindet, wird überprüft ob es einen passenden Key gibt. Falls ein passender Key gefunden wird, überprüft das SSH-Protokoll, ob zum auf dem Server gefundenen öffentlichen Schlüssel, ein lokaler, privater Schlüssel existiert. Über dieses Schlüsselpaar findet dann die Authentifizierung statt.

==Login per Key==
===Unix: Schlüssel anlegen (4096 Bit) ===
Da der Schlüssel recht lang ist, dauert es möglicherweise eine kurze Weile, bis dieser erstellt ist. Sie können den Computer beim Erstellen unterstützen, in dem Sie wahllos Aktionen tätigen: Fenster verschieben, Dokumente löschen, speichern, öffnen, Programme öffnen und schließen. Dies ist notwendig, da bei der Erzeugung eines Schlüssels das Programm eine große Anzahl von Zufallszahlen benötigt, die es nur aus Rechenoperationen erzeugen kann.

Je nach Zielsetzung des Schlüssels kann es wichtig sein, kein Passwort einzugeben. Sonst hat man zwar Authentifizierung über einen Key aber eben über einen mit Passwort:
ssh-keygen -b 4096 -t rsa

===Den autorisierten Schlüsseln hinzufügen===

Damit der Server den Schlüssel akzeptiert, muss der öffentliche Schlüssel in die Datei ''~/.ssh/authorized_keys'' (auf dem Schokokeks Server) eingetragen werden:

cat ~/.ssh/id_rsa.pub | ssh remotehost "cat >> ~/.ssh/authorized_keys"

Es können mehrere unterschiedliche Schlüssel in dieser Datei eingetragen werden.

===Windows (Putty): Schlüssel anlegen (4096 Bit)===

Zuerst benötigt man hierzu das Programm puttygen.exe und putty.exe [http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html].

Den Schlüssel generiert man nun mit dem Tool puttygen.exe (nicht vergessen unten rechts 4096 Bit einzutragen).
Die beiden Schlüssel (privat und public) müssen nun - ggf. ohne die Angabe eines Passwortes - an einem "sicheren Ort" gespeichert werden.

Puttygen formatiert die Ausgabe anders als ssh-keygen. Daher muss der Schlüssel noch etwas nachbearbeitet werden.

vorher:
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-20050628"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---- END SSH2 PUBLIC KEY ----

hinterher:
ssh-rsa AAAAB3NzaC1yc2EAAAABJQA........FmgD14UGKvgyWc4vVwrg+VzjoRak3uPk6M0jd6hjk=

Also es müssen der Vor- und Nachspann entfernt werden und alle Zeilen (ohne Leerzeichen) zu einer Zeile zusammengefasst werden. Davor muss dann noch ''ssh-rsa'' geschrieben werden um den Typ des Schlüssels zu kennzeichnen.

Diesen fügen Sie dann in die Datei ~/.ssh/authorized_keys ein.

==Kurznamen einrichten (Linux)==
Falls Sie in der Form <code>ssh keks</code> auf Ihren SSH-Account zugreifen möchten, so editieren Sie die Datei <code>~/.ssh/config</code>. Dort fügen Sie folgende Zeilen ein:
Host keks
User <Ihr Benutzername>
IdentityFile <Pfad zum SSH-Key>
Hostname schokokeks.org

===Beispiel===
'''ACHTUNG:''' Der Pfad zum Schlüssel variert, vor allem auf den unterschiedlichen Plattformen. Testen Sie vorher unbedingt aus, dass der Schlüssel auch unter dem angegebenen Pfad existiert.

Host keks
User lars
IdentityFile ~/.ssh/keks_rsa
Hostname schokokeks.org

[[Kategorie:OpenSSH]]

Subversion/Hooks

2008-09-11T16:30:21Z

Ruderich: typo

Subversion-Hooks lassen sich dazu verwenden, Benutzern über Jabber oder Mail über Veränderungen in Repositories zu informieren. ''Hooks'' sind allgemein gesprochen Einstiegspunkte, die eine bestimmte Software bietet.

=Implementation=

Das zentrale Script ''commit-notification.rb'' ist, wie man unschwer an der Dateiendung erkennt, ein Ruby-Script. Es versteht die vier Argumente ''-r'' (''--revision''), ''-d'' (''--repos''), ''-c'' (''--config''), ''-u'' (''--user'') und ''-p'' (''--password''). Die Parameter sind zwingend notwendig, ohne sie funktioniert es nicht. Der verwendete Hook ''post-commit'' wird in der Datei ''/path/to/repository/hooks/post-commit'' spezifiziert und muss folgenden Inhalt haben:
#! /bin/sh
REPOS="$1"
REV="$2"
/usr/local/bin/subversion/commit-notification.rb \
--revision "$REV" \
--repos "$REPOS" \
--config /home/user/path/to/file.ini \
--user 'jabberuser' \
--password 'jabbersecret'

=Jabber=

Damit Nachrichten per Jabber versandt werden können, muss man dem Script sowohl den Benutzer als auch das Passwort mitgeben. Der Benutzer wird im Format ''username@server.com/Resource'' angegeben. Man kann dazu entweder einen existierenden Benutzer angeben oder auch einen neuen registrieren. Letzteres sollte mit den Administratoren abgesprochen werden.

==Konfiguration==
''commit-notification.rb'' ist so implementiert, dass jeder User die von ihm gewünschten Einstellungen vornehmen kann. Dazu gehört sowohl die Angabe der Mail- und Jabberadresse, als auch die Art der Benachrichtigung (derzeitig: Jabber oder Mail). Die Einstellungen werden in der Datei ''datei.ini'' vorgenommen. Wie sich auch hier an der Dateiendung erkennen lässt, handelt es sich bei der Datei um ein Ini-File, die wie folgt aufgebaut ist:
[mmustermann]
name = Max Mustermann
mail = mmustermann@nu2m.de
jabber = max@example.org
project = repos_name,
notification = mail,jabber
Wichtig ist dabei, dass die die Direktive ''project'' dem Namen des Repositories entspricht. Ebenso darf der Username (in eckigen Klammern notiert) nicht doppelt notiert sein.

[[Kategorie:Webserver]]
[[Kategorie:Subversion]]

WinSCP

2008-09-11T16:20:16Z

Ruderich: typo

Eine sehr benutzerfreundliche Möglichkeit mit einem Windows-Computer Dateien auf den Server hochzuladen oder dort zu verändern ist das Programm [http://winscp.sourceforge.net WinSCP].

Seit der Version 4.0 unterstützt das Programm auch FTP, so dass dieses Programm auch bei vielen anderen Webhostern ebenfalls verwendet werden kann.

=Ansichtssache=

[[Bild:Winscp_nortonmode.png|right|thumb|200px|Norton-Commander-Modus]]
[[Bild:Winscp_explorermode.png|left|thumb|200px|Windows-Explorer-Modus]]
Es gibt zwei grundlegend verschiedene Möglichkeiten, wie ein Programm zum Dateiupload aussehen soll. Den '''Norton-Commander-Modus''' und den '''Windows-Explorer-Modus'''. Beim ersten arbeitet man mit einer 2-Fenster-Ansicht und kann Dateien mit der Maus oder auch mit Tastatur-Shortcuts vom linken zum rechten Fensterteil oder umgekehrt kopieren. Diese Ansicht erlaubt sehr effizientes Arbeiten, da man immer alles erreichen kann, was man braucht. Beim Windows-Explorer-Modus verhält sich das WinSCP-Fenster wie ein Explorer-Fenster und man kann bequem per ''Drag-and-Drop'' Dateien vom Windows-Explorer auf das WinSCP-Fenter ziehen oder umgekehrt.

Der WinSCP-Client beherrscht beide Ansichten und fragt beim ersten Start nach der gewünschten Ansicht.

=Mit Sicherheit=

Beim Start wird sofort gefragt, zu welchem Server man sich verbinden möchte. Das folgende Bild zeigt diesen Dialog:

[[Bild:Winscp_login.png|WinSCP-Login-Fenster]]

Wie man sieht, kann man sich mit WinSCP entweder per Passwort oder per [[Key-Login (OpenSSH)|SSH-Key]] anmelden. Für häufige Verbindungen eignet sich hierbei ein SSH-Key ohne Passwort, damit wird dann die Verbindung ohne weitere Passwort-Abfrage hergestellt.

Wie die enthaltenen Eingabefelder ausgefüllt werden müssen, sollte selbsterklärend sein, '''Rechnername''' ist ''schokokeks.org'', '''Port''' ist ''22'', '''Benutzername''' und '''Passwort''' oder '''Schlüsseldatei''' sind natürlich individuell anzupassen. Dies sind die einzigen erforderlichen Angaben, es besteht aber die Möglichkeit noch viele weitere Optionen einzustellen.

Während der ersten Verbindung zu einem SSH-Server, wird dessen Fingerprint zur Überprüfung angezeigt. Das ist ein sehr wichtiger Schritt, denn nur so ist sichergestellt, dass man sein Passwort auch dem richtigen Server sendet. Die ganze Verschlüsselung bringt nichts, wenn am anderen Ende nicht der Server sondern ein Dritter die Daten bekommt. Daher bitte ich jeden, diesen Fingerprint sorgfältig zu prüfen. Für unseren Server ist dieser
1024 b5:33:a0:4b:19:dc:10:c7:9d:d1:db:18:76:76:27:4f
wobei '''1024''' für die Verschlüsselungsstärke in Bit steht. Eine Änderung dieses Fingerprints wird von uns vorher angekündigt.

Das Bestätigungsfenster sollte folglich so aussehen:

[[Bild:Winscp_fingerprint.png|Fingerprint-Überprüfung]]

=Dateitransfer=

Je nach gewählter Ansicht kann man nun mit der Maus oder mit der Tastatur eine oder mehrere Dateien auswählen und vom oder zum Server kopieren.

Vor dem Beginn des Kopiervorgangs fragt WinSCP noch einige Optionen ab.

[[Bild:Winscp_copy.png|Optionen des Kopiervorgangs]]

'''Optionen:''' Noch aus FTP-Zeiten bekannt ist vielen bestimmt der Übertragungsmodus (entweder ''ASCII'' oder ''Binär''). In der Regel sollte die automatische Einstellung die richtige sein.
Sehr interessant sind die Optionen '''Neue neue und geänderte Dateien''' sowie '''Ausschlussmaske'''. Mit letzterer kann man bestimmte Dateien (z.B. '''*.bak''') vom Kopiervorgang ausschließen.

Während der Kopiervorgang läuft, werden zwei Statusleisten angezeigt; einer zeigt den Status der aktuellen Datei, der andere den Status alles gewählten Dateien, sofern man mehrere Dateien ausgewählt hat.

'''Hinweis:''' Man kann während des Kopiervorgangs die Geschwindigkeit drosseln, so bleibt die eigene Leitung noch benutzbar, auch wenn man größere Datenmengen überträgt. Natürlich verlängert sich damit auch die Dauer der Übertragung.

[[Bild:Winscp_copydialog.png|Statusanzeige beim Kopieren]]

==Wiederaufnehmen==

Wenn der Transfer einer Datei abgebrochen wird oder durch andere Umstände (Leitungsstörung, etc.) nicht beendet wurde und neu gestartet wird, dann fragt WinSCP nach, ob er die Übertragung fortsetzen soll. Dabei wird dann der bereits übertragene Teil der Datei nicht noch einmal übertragen sondern es wird dort weitergemacht, wo vorher abgebrochen wurde.

WinSCP zeigt dann diese Meldung

[[Bild:Winscp_resume.png|Wiederaufnahme eines Transfers]]

=Schlüsselerstellung=

Um nicht bei jedem Zugriff ein Passwort eingeben zu müssen, bietet sich die Erstellung eines ''SSH-Key'' an. Man muss nach der Erstellung (und Aktivierung) nur noch diesen Schlüssel auf der Festplatte haben um sich mit dem Server zu verbinden.

Das Programm WinSCP liefert gleich den Teil des Programms '''Putty''' mit, der zur Erzeugung von Schlüsseln notwendig ist, nämlich das Programm '''puttygen'''. Diese lässt sich entweder über das Menü erreichen, oder man findet es im WinSCP-Programm-Verzeichnis.

[[Bild:Winscp_keygen_menu.png|Programme - WinSCP - Schlüssel Werkzeuge - PuTTYgen]]

[[Kategorie:OpenSSH]]

Passwortschutz für Webseiten

2008-09-10T21:32:14Z

Ruderich: typo

Wenn Sie eine Webseite (oder gleichermaßen auch nur ein Unterverzeichnis einer Webseite) durch Passwörter schützen wollen, können Sie das über die verbreitete '''.htaccess'''-Methode erreichen.

==Passwörter einrichten==
Je nach Anforderung kann eine zentrale Passwort-Datei für alle Ihre Webseiten oder mehrere unterschiedliche Passwort-Dateien sinnvoll sein. Beachten Sie bitte, dass der Webserver (System-Benutzer ''apache'') die Datei lesen muss und daher entsprechende Zugriffsrechte braucht.

Eine Passwort-Datei erstellen Sie z.B. mit dem System-Programm '''htpasswd'''.

Möchten Sie z.B. ein Passwort für den Benutzer ''bernd'' zentral in der Datei ''/home/bernd/websites/passwoerter'' hinterlegen, so benutzen Sie diesen Befehl:

htpasswd -c -s /home/bernd/websites/passwoerter bernd

Nach Aufruf des Kommandos werden Sie nach dem entsprechenden Passwort gefragt.

Später können Sie beliebig viele neue Benutzer-Passwörter hinzufügen, in dem Sie die Option ''-c'' weg lassen:

htpasswd -s /home/bernd/websites/passwoerter ''neuerbenutzer''

==Verzeichnisse schützen==
Um mit diesen Passwörtern ein Verzeichnis zu schützen, brauchen Sie zusätzlich noch eine Datei mit dem Namen '''.htaccess''', die Sie genau dort speichern, wo der Schutz beginnen soll.

Legen Sie diese Datei z.B. nach ''~/websites/'', so sind alle Ihre Seiten auf einmal passwortgeschützt. Befindet sich diese Datei aber z.B. in ''/home/bernd/websites/bernd-wurst.de/htdocs/files'', so ist nur die Adresse http://bernd-wurst.de/files durch ein Passwort geschützt.

Der Inhalt der Datei sieht wie folgt aus:

AuthType Basic
AuthName "Der Zugriff ist Passwortgeschützt!"
AuthUserFile /home/bernd/websites/passwoerter
require valid-user

Dabei können Sie den Text hinter ''AuthName'' beliebig wählen. Der Pfad zur Passwort-Datei (bei AuthUserFile) muss exakt und mit vollständigem Pfad angegeben werden.

Schönere URLs für MediaWiki

2008-09-10T00:59:54Z

Ruderich: typo

PHP kann auf schokokeks.org in zwei Varianten benutzt werden: Als Apache-Modul und als (Fast-)CGI.

Die Apache-Modul-Variante ist üblicherweise die schnellste, kann aber aus Sicherheitsgründen nur mit dem sogenannten ''[[Probleme mit Safe-Mode|safe_mode]]'' betrieben werden. Manche Web-Anwendungen benötigen Funktionen, die im ''safe_mode'' nicht zur Verfügung stehen. Insbesondere MediaWiki verweigert manche Funktionen (z.B. Bildverarbeitung) wenn es mit der ''safe_mode''-Einstellung betrieben wird.

Allerdings funktioniert die "Pretty URLs"-Einstellung leider nicht mit der CGI-Variante. Wenn man die Einstellungen jedoch verfeinert, dann funktioniert der Betrieb reibungslos.

Man muss unterscheiden, ob man MediaWiki als eigene (Sub-)Domain betreibt oder in einem Unterverzeichnis innerhalb des DocumentRoot.

==Eigener DocRoot==
Es muss eine Datei '''.htaccess''' erzeugt werden, die den folgenden Inhalt hat:
Options FollowSymLinks
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.+)$ /index.php?title=$1 [L,QSA]

Dann muss in der Datei '''LocalSettings.php''' folgendes geändert werden:
$wgScriptPath = "";
$wgScript = "$wgScriptPath";
$wgArticlePath = "$wgScript/$1";

==In einem Unterverzeichnis==
Wir nehmen an, dass das Unterverzeichnis '''/wiki''' benutzt wird.

Auch hier muss eine Datei '''.htaccess''' erzeugt werden:
Options FollowSymLinks
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.+)$ /wiki/index.php?title=$1 [L,QSA]

die Datei '''LocalSettings.php''' muss auch geringfügig anders geändert werden.
$wgScriptPath = "/wiki";
$wgScript = "$wgScriptPath";
$wgArticlePath = "$wgScript/$1";

E-Mail/Neue Viren

2008-09-10T00:55:03Z

Ruderich: typo

==Vorgehensweise bei neuen Viren==

Wir stellen eine regelmäßig aktualisierte Version von ClamAV zum Scannen von eMails nach Viren zur Verfügung. Trotzdem kann es vorkommen, das neue Viren nicht erkannt werden. In dem Fall empfehlen wir Nutzern, diese den Entwicklern von ClamAV zur Verfügung zu stellen.

===Verdächtige Dateien===

Verdächtig sind eMails mit Anhängen, die auf eine ausführbare Datei hindeuten (pif, exe, com, bat, scr) oder Archive (zip, rar).

===Vorgehensweise===

Haben Sie eine verdächtige Mail, empfielt es sich, die komplette Mail (praktisch jedes eMail-Programm bietet eine Möglichkeit, Mails komplett abzuspeichern) mit folgenden Online-Tools zu scannen:
[http://www.virustotal.com/ VirusTotal] und [http://virusscan.jotti.org/ Jotti's malware scan]

Bei beiden Services haben Sie die Möglichkeit, verdächtige Dateien hochzuladen und von einer Vielzahl von Virenscannern überprüfen zu lassen. Haben Sie tatsächlich einen neuen Virus, wird er hier sehr häufig bereits erkannt. Die Services geben Dateien bei Bedarf an Entwickler von AntiViren-Software weiter.

Nun sollte man überprüfen, ob der Virus von der aktuellen ClamAV-Version bereits erkannt wird. Dazu ruft man das Programm freshclam auf, welches die lokalen Suchstrings aktualisiert. Anschließend scannt man die Datei mit clamscan.
User, die lokal kein ClamAV installiert haben, können Dateien auf dem schokokeks scannen, freshclam wird dort stündlich aufgerufen.

Wird die verdächtige Datei auch mit aktualisierten Suchstrings nicht erkannt, empfiehlt es sich, diese unter [http://cgi.clamav.net/sendvirus.cgi] hochzuladen.

===Phishing===

ClamAV erkennt neben Viren auch Phishing-Mails. Phishing bezeichnet üblicherweise Mails, die versuchen, den Nutzer dazu zu bringen, auf einer gefälschten Homepage einer Bank oder anderen Zahlungsinstitution (bspw. PayPal) Zugangsdaten, PINs, oder TANs einzugeben.
Phishing-Mails sollten ebenfalls über das selbe Formular an das ClamAV-Team gesendet werden. Phishing-Mails werden üblicherweise nicht von anderen Virenscannern erkannt, insofern nützt ein Hochladen bei Virustotal oder Jotti nichts.

[[Kategorie:E-Mail]]

Unix Zugriffsrechte

2008-09-10T00:31:46Z

Ruderich: typo

Wegen mehrmaliger Nachfragen verschiedener Leute, wie das mit den Zugriffsrechten eigentlich funktioniert, hier eine kleine Einführung.

=Zugriffsgruppen=

Jede Datei und jeder Ordner kennt drei Zugriffsgruppen: Besitzer (''user''), eine Gruppe (''group'') und alle anderen (''others'' oder auch ''world'').

Jede Datei hat einen Besitzer und ist einer Gruppe zugeordnet. Den Besitzer kann man in der Regel nicht ändern, das ist immer der Ersteller. Nur Admins (''root'') können das ändern. Anders die Gruppe, das kann man auf der Kommandozeile mit dem Befehl '''chgrp''' machen. Ist für unseren Server aber nicht relevant, da wir mit ACLs viel flexiblere Möglichkeiten haben.

Für jede dieser 3 Zugriffsgruppen sind die Rechte einstellbar. Dafür gibt es Leserechte (''read''), Schreibrechte (''write'') und das Recht, die Datei auszuführen (''execute'').

'''Anmerkung:''' Das Recht ''Ausführen'' hat bei Verzeichnissen eine Sonderrolle, es bedeutet nämlich ''hineinwechseln''. Wenn man in einem Verzeichnis also nur das Recht ''ausführen'' hat, dann kann man dort zwar hineinwechseln (und auch in Unterverzeichnisse, sofern dort die Rechte entsprechend sind), aber nicht den Inhalt anzeigen. So kann man z.B. das Benutzer-Home-Verzeichnis für den Webserver zugänglich machen, ohne diesem das Recht zu geben, die enthaltenen Dateien anzuzeigen. (siehe auch [[Webserver-Zugriffsrechte]])

Zudem gibt es noch drei Sonder-Rechte, ''suid'', ''setguid'' und das ''sticky-bit''. Auf die letzten drei werde ich nicht weiter eingehen, da sie für normale Benutzer nicht relevant sind. Nur soviel: lasst die Finger davon!

=Darstellung der Rechte=

==Oktal- oder Dezimalzahlen==

Oft werden Unix-Dateirechte als Zahlen dargestellt. Da soll ein Verzeichnis auf ''755'' gesetzt werden, oder eine Datei auf ''666''. Das sieht jetzt so aus als müsste man sich nun hunderte von Zahlen merken, das stimmt aber nicht. Eigentlich sind es nur 3. ;-)

Vorab: Wir rechnen jetzt erstmal mit Binärzahlen. Zumindest sieht man es da sehr gut, wie man rechnen muss. Ich hoffe der Begriff ''binäres oder'' ist bekannt? ;-) Ok, ich erklär's ...

Man kann es als Tabelle darstellen:

{| style="text-align: center; padding: 0.5em;"
| rowspan="2" style="font-weight: bold;" | Recht || rowspan="2" style="font-weight: bold;" | dezimal /<br />oktal || colspan="3" style="font-weight: bold;" | binär
|-
| style="font-weight: bold; padding: 0.5em;"| Besitzer || style="font-weight: bold; padding: 0.5em;" | Gruppe || style="font-weight: bold; padding: 0.5em;" | alle anderen
|-
| lesen || 4 || 100 || 100 || 100
|-
| schreiben || 2 || 010 || 010 || 010
|-
| ausführen || 1 || 001 || 001 || 001
|}

Nun muss man lediglich senkrecht zusammenzählen, was man haben will.

So entspricht die Angabe '''755''' zum Beispiel diesem:

{| style="text-align: center; padding: 0.5em;"
| rowspan="2" style="font-weight: bold;" | Recht || rowspan="2" style="font-weight: bold;" | dezimal /<br />oktal || colspan="3" style="font-weight: bold;" | binär
|-
| style="font-weight: bold; padding: 0.5em;"| Besitzer || style="font-weight: bold; padding: 0.5em;" | Gruppe || style="font-weight: bold; padding: 0.5em;" | alle anderen
|-
| lesen || 4 || style="font-weight: bold;" | 100 || style="font-weight: bold;" | 100 || style="font-weight: bold;" | 100
|-
| schreiben || 2 || style="font-weight: bold;" | 010 || style="color: #ccc;" | 010 || style="color: #ccc;" | 010
|-
| ausführen || 1 || style="font-weight: bold;" | 001 || style="font-weight: bold;" | 001 || style="font-weight: bold;" | 001
|-
| colspan="2" | Gesamt: || style="font-weight: bold;" | 4+2+1=<br />7 || style="font-weight: bold;" | 4+1=<br />5 || style="font-weight: bold;" | 4+1=<br />5
|}

Das ist schon alles, mehr gibt es da erstmal nicht. Das bedeutet lediglich, man hat eine 3-stellige Zahl (ob oktal oder dezimal ist in dem Moment egal, es geht eh nicht über 7) und jede Stelle zeigt für sich genommen das Recht einer der oben genannten Gruppen an.

==als Text==

Alternativ werden Rechte auch oft mit einer 10-stelligen Buchstaben-Kette angegeben. Wenn alle Zeichen benutzt werden, sieht das etwa so aus:
drwxrwxrwx
Dabei ist das erste Zeichen erstmal irrelevant, es zeigt in diesem Fall ('''d''') an, dass wir es mit einem Verzeichnis zu tun haben. Die folgenden 9 Zeichen sind dagegen eine andere Darstellung für das oben genannte. Auch hier gibt es 3 Blöcke, diesmal à 3 Stellen. Jeder Buchstabe kann da sein oder nicht da sein (Sonderfälle wollen wir hier nicht behandeln). Das oben genannte '''755''' würde also in dieser Darstellung für ein Verzeichnis so aussehen:
drwxr-xr-x
und für eine Datei so:
-rwxr-xr-x

Solange es um klassische Unix-Zugriffsrechte geht, sind diese beiden Darstellungen identisch, man kann mit beiden die Zugriffsrechte beschreiben, die normalerweise wichtig sind.

Wenn man nun aber mit ACLs arbeitet (siehe weiter unten), dann verwendet man in aller Regel die Darstellung als Text.

=Ändern der Rechte=

==chmod==

Der Befehl '''chmod''' erlaubt das Ändern der angesprochenen ''klassischen'' Unix-Zugriffsrechte. Er erlaubt die Angabe des gewünschten Zugriffsrechts entweder als 3-stellige Zahl (wie oben, z.B. ''755'') oder als Zeichen. Dabei können bei ''chmod'' einzelne Rechte auch einzeln gesetzt oder gelöscht werden. Das funktioniert folgendermaßen:
chmod [option] [u|g|o|a][+|-][r|w|x]

:'''Legende:'''
:'''u''': user (Besitzer), '''g''': group (Gruppe), '''o''': others (alle anderen), '''a''': all (alle Rechte gleichzeitig ändern)
:'''+''': das nachfolgend angegebene Recht wird neu gesetzt, '''-''': Das angegebene Recht wird gelöscht
:'''r''': read (Lesen), '''w''': write (Schreiben), '''x''': execute (Ausführen; in ein Verzeichnis hineinwechseln)

Es kann also explizit gesagt werden ''"Ich will, dass die Datei nicht mehr für andere schreibbar ist"'', das wäre dann der Befehl '''chmod go-w ''<datei>'''''. Die übrigen Rechte (z.B. Leserecht oder Ausführen) bleiben davon gänzlich unberührt.

Alternativ versteht ''chmod'' natürlich auch Oktalzahlen, dabei kann man z.B. mit '''chmod 644 ''<datei>''''' eine Datei so einstellen, dass man selbst zwar lesen und schreiben darf, andere aber nur lesen dürfen.

=ACL (Access Control Lists)=

Um detailliertere Zugriffsrechte zu setzen, gibt es die Möglichkeit der Access Control Lists. Diese erlauben, das Recht nicht nur für den Besitzer, die Gruppe und ''alle anderen'' zu setzen sondern es wird damit möglich, gezielt einem oder mehreren bestimmten Benutzer(n) oder einer oder mehreren bestimmten Gruppe(n) Zugriff zu erlauben. So werden beispielsweise die Zugriffsrechte für den Apache-Webserver bei uns eingestellt. (siehe [[Webserver-Zugriffsrechte]])

==ACL setzen==

Um eine neue ACL für eine Datei zu erstellen oder eine bestehende zu bearbeiten, wird der Befehl '''setfacl -m''' benutzt.

Beispiele:
setfacl -m u:[user]:r [file]
Gibt dem User [user] Lesezugriff auf die Datei [file].
setfacl -m g:[group]:rw [file]
Gibt allen Nutzern der Gruppe [group] Lese- und Schreibzugriff auf die Datei [file].

==ACL anzeigen==

getfacl zeigt die ACL einer Datei an.
getfacl [file]

[[Category:Zugriffsrechte]]
[[Category:UNIX-Tools]]

Ejabberd

2008-09-10T00:20:25Z

Ruderich: typo

==Einführung==
Seit dem 21. Januar 2005 wird der Jabberd des Schokokeks mit [http://ejabberd.jabber.ru Ejabberd] betrieben. Dieser in der Programmiersprache [http://erlang.org/ Erlang] implementierte Jabber-Server bietet einige Vorteile gegenüber den Konkurrenten Jabberd 2.0 und 1.4:

===Stabilität und Performance===
* Erlang wurde dazu entwickelt, um hochverfügbare Systeme im Telekommunikationsbereich zu implementieren und stellt somit sicher, dass der Server genau das tut, was er tun soll: funktionieren.
* Speicher- und CPU-Bedarf des Ejabberds sind deutlich geringer als der seiner Konkurrenten.

===Modularität und Zugriffsrechte===
* Jedes Modul lässt sich hinzufügen, entfernen und neu starten ohne dass davon der eigentliche Jabberd berührt ist. Eine Ausnahme bilden hierbei die sogenannten Transports. Bei Änderungen muss der Ejabberd leider trotzdem neu gestartet werden.
* Über ACLs lassen sich sehr genau granuliert Zugriffsrechte einstellen. Darüber ist ein extrem flexibles Setup zu erreichen.

===Konfigurierbarkeit===
* Ejabberd lässt sich nach aufwendiger Initialkonfiguration komfortabel über ein Webinterface warten.
* Die Konfigurationsdatei ist übersichtlicher als die bei Jabberd 1.4 und 2.0 üblichen, sehr langen und teilweise unübersichtlichen XML-Dateien.

===Erweiterte Jabber-Funktionen===
* Jabberd bringt praktische Funktionen wie Shared Roster, Service Discovery ''out-of-the Box'' mit.

==Konfiguration==
===Ports und Transports===
Ejabberd ist so konfiguriert, dass auf Port 5222 auf schokokeks.org ein normaler Jabber-Daemon lauscht. Dieser bietet auch unverschlüsselte Verbindungen an, es ist aber empfohlen TLS-geschützte Verbindungen zu verwenden. Falls der Client dies nicht unterstützt, sollte man auf das klassische SSL auf Port 5223 zurückgreifen.

Bisher ist auf schokokeks.org ein MUC-Modul (Konferenz-Erweiterung), PyICQ-T als ICQ-Transport und mod_irc als [[IRC-Transport]] konfiguriert.

==Administrative Aufgaben==
===Vhost hinzufügen===
''/etc/jabber/ejabberd.cfg'' editieren. In der Direktive ''{hosts, ...}'' den gewünschten Virtual host hinzufügen und Ejabberd neu starten (<code>/etc/init.d/ejabberd restart</code>).
<div style="border: 3px solid #24f094;padding: 1em;margin: 1em 4em 1em 4em;">'''Tipp:'''<br />
Wenn man die Ejabberd Konfigurationsdatei unter ''/etc/jabber/ejabberd.cfg'' editiert, ist zu beachten, dass es sich dabei um ganz normalen Erlang Code handelt. In [[Vim verwenden|Vim]] ist es deshalb zu empfehlen, das Syntaxhighlighting auf ''erlang'' umzustellen (<code>:set syntax=erlang</code>).</div>

===Einen Benutzer zum Administrator machen===
''/etc/jabber/ejabberd.cfg'' editieren und folgende Zeile hinzufügen:
<code>{acl, admin, {user, "user", "example.org"}}.</code>

===Konfigurationsdatei validieren===
Da Erlang-Code einige Fallstricke mit sich bringt, ist es empfehlenswert, vor dem Neustarten des Jabber-Servers zu überprüfen, ob die Konfigurationdatei ''/etc/jabber/ejabberd.cfg'' syntaktisch korrekt ist. Dazu findet sich unter ''/root/erlang-tools/'' ein kleines Erlang-Programm ''erlcheck.erl'', das wie folgt verwendet wird:
* Erlang-Shell öffnen
erl /root/erlang-tools/erlcheck.erl
* Erlcheck laden
c(erlcheck).
* Konfigurationsdatei überprüfen
erlcheck:checkfile("/etc/jabber/ejabberd.cfg").

[[Kategorie:Jabber]]

Pidgin

2008-09-07T22:48:37Z

Ruderich: typo

=Anleitung=
Diese Seite dokumentiert die Einrichtung unter dem Nachrichtendienst Pidgin (alter Name Gaim).

Öffnen sie den Menübutton <strike>»Werkzeuge« und gehen dann auf »Konto«</strike>. Bei neueren Gaim/Pidgin Versionen ist es direkt der Menüpunkt »Konten > Hinzufügen/Ändern« bzw. aktuell (Pidgin 2.4) unter »Konten > Verwalten«. Nun sind Sie im Konten-Übersichts-Fenster.

Ein neues Konto fügen über einen klick auf die Schaltfläche »Hinzufügen« hinzu.

Im Konten-Fenster wählen Sie als Protokoll »Jabber«, den Benutzernamen können Sie frei wählen. Der Server ist schokokeks.org bzw. Ihre Domain, die Ressource beliebig. Nun müssen sie ein Passwort eingeben. Als Alias geben Sie am besten Ihren Namen ein, der nachher auch angezeigt wird. Dieser muss nicht identisch mit dem Benutzernamen sein. Bei eigener Domain klicken sie auf mehr Optionen (bzw. den Reiter »Erweitert« bei neueren Versionen) und stellen sie sicher dass schokokeks.org (Port: 5223) als Verbindungsserver verwendet wird.

Klicken Sie nun auf »Speichern«.

== SSL-Probleme ==

Seit Version 2.4 überprüft Pidgin Zertifikate (zu?) streng, deshalb ist es nötig, das Zertifikat von schokokeks.org manuell herunterzuladen. Dieser Fehler macht sich dadurch bemerkbar, dass beim Anmelden bei dem Jabber-Konto die Meldung kommt, der Server habe ein fehlerhaftes SSL-Zertifikat präsentiert.

Unter Linux können Sie das Zertifikat mit dem folgenden Befehl herunterladen:
<code>openssl s_client -connect schokokeks.org:5223</code>
Diesen müssen Sie dann mit [Strg]+[C] abbrechen, anschließend kopieren Sie bitte den Bereich von
-----BEGIN CERTIFICATE-----
bis einschließlich
-----END CERTIFICATE-----
in eine Textdatei. Dies kann man z.B. mit
<code>cat > schokokeks.org.pem</code>
machen, nach diesem Kommando den Text einfach einfügen und dann mit [Strg]+[D] die Eingabe beenden.

Dieses Zertifikat können Sie nun in Pidgin importieren, indem Sie auf »Werkzeuge -> Zertifkate« gehen und »Hinzufügen« aufrufen, die soeben erstellte Datei auswählen und als Hostnamen »schokokeks.org« eintragen. Weitere Informationen sind im [http://web.jabber.ccc.de/?p=29 Blog von Jabber.ccc.de] zu finden.

=Links=
* [http://www.pidgin.im Pidgin] - Entwicklerseite zu Pidgin, früher Gaim
* [[Jabber]] - Artikel zu Jabber im Wiki
* [http://de.wikipedia.org/wiki/Jabber Jabber bei der Wikipedia] - Artikel zu Jabber mit Clientliste



[[Kategorie:Jabber]]

Gajim

2008-09-07T22:46:04Z

Ruderich: typo

Gajim ist ein Jabber-Client für Gnome. Er unterstützt das Jabber Protokoll weitgehendst und kommt somit auch mit Transports klar.

Desweiteren gibt es auch eine Version für Windows. Dies ist besonders nützlich um bestimmte Funktionen, die gewöhnliche Clients nicht beherrschen, nutzen zu können.

=Anleitung Kontoeinrichtung=
Im Menü »Ändern«, unter »Konten« erhalten Sie eine Liste der vorhandenen Zugänge.
Mit Klick auf »Neu« können Sie einen neuen Zugang eintragen.

* Wählen Sie bitte aus »Ich habe bereits ein Konto, das ich benutzen möchte«.
* Im folgenden Dialog, tragen Sie bitte lokalen Teil, Domain-Teil und Passwort ein.

{{AlertBox
|title=Sie können kein Konto mit Gajim selbst erstellen
|content=Die Anmeldung neuer Konten direkt aus einem Jabber-Client ist nicht aktiviert. Bitte benutzen Sie das Web-Interface zur Erstellung neuer Jabber-Konten.
}}

[[Kategorie:Jabber]]

Hilfe:Bearbeitungshilfe

2008-09-07T22:45:39Z

Ruderich: +links zu Wikipedia

Für die Bearbeitungshilfe können Sie die Wikipedia Artikel verwenden: [http://de.wikipedia.org/wiki/Hilfe:Formatieren Formatieren], [http://de.wikipedia.org/wiki/Hilfe:Textgestaltung Textgestaltung]

SSH, SFTP und FTP

2008-09-07T22:37:57Z

Ruderich: +lftp

==Warum kein FTP?==

Bei Verbindungen nach dem ''File-Transfer-Protocol'' besteht keine Möglichkeit, die Übertragung zu verschlüsseln. Auch übliche SSL-Tunnel-Lösungen sind aufgrund der Struktur des FTP technisch nicht möglich. Dies gilt sowohl für das Anmelden am FTP-Server (Zugangspasswort) als auch für die übertragenen Daten (evtl. MySQL-Passwörter, etc.).

Aufgrund dieser nicht behebbaren Schwachstellen haben wir uns entschlossen, keinen FTP-Zugang einzurichten. Die Alternativen über das SSH-Protokoll bieten die selben Möglichkeiten (und noch zahlreiche mehr), daher sollte dem Benutzer kein Nachteil entstehen.

==Was ist ssh / scp?==

SSH bedeutet '''''S'''ecure '''SH'''ell'' und beschreibt eine Methode zum verschlüsselten Zugriff auf entfernte Rechner. Mittels SSH ist die Bedienung eines fremden Rechners so möglich als würde man selbst an diesem sitzen. Dabei ist sowohl die Übertragung als auch die Anmeldung stark verschlüsselt und daher nicht von Dritten mitlesbar. Als zusätzlichen Komfort, besteht die Möglichkeit, sich mit [[Key-Login (OpenSSH)|SSH-Key]] anzumelden.

SCP ist eine Möglichkeit zum Übertragen von Dateien über eine verschlüsselte SSH-Verbindung.

SFTP ist eine FTP-Emulation, ebenfalls über SSH. Alle von FTP bekannten Funktionen können ebenfalls über SFTP benutzt werden. Durch die gleichzeitige Möglichkeit SSH als Konsole aufzurufen, erweitern sich die Möglichkeiten drastisch.

==Clients==

===Linux (teilweise auch Mac OS X)===

====scp====
scp ist das Standard-Programm auf jedem Unix-System mit OpenSSH.

scp quelldatei.txt server:pfad
scp server:pfad/quelldatei.txt /lokaler/pfad
scp -r quellordner/ server:
scp -r server:/home /tmp

====rsync====

Eine der bequemsten Möglichkeiten, die eigene Homepage aktuell zu halten, ist ''[http://samba.org/rsync/ rsync]''. ''rsync'' ist ein Programm zum Synchronisieren von beliebigen Verzeichnissen und es kann genauso lokal oder über eine SSH-Verbindung arbeiten.

Angenommen, die lokale Kopie der Homepage (die man bearbeitet) liegt unter ''/var/www/blablub.de'' und die öffentliche Version (die synchronisiert werden soll) liegt unter ''schokokeks.org:websites/blablub.de'', dann könnte der rsync-Befehl so aussehen:

rsync --quiet --recursive --links --safe-links --perms --rsh="ssh -q" --delete \
--compress /var/www/blablub.de/ schokokeks.org:websites/blablub.de/

Damit würde die Seite exakt so gespiegelt wie sie lokal vorliegt.

Wenn man nun online bestimmte Daten hat, die beim update nicht gelöscht oder überschrieben werden sollen, dann kann man diese ''--exclude [pattern]'' explizit ausschließen. Die Hilfeseite, die man mit ''man rsync'' lesen kann, gibt noch einige weitere Beispiele und Informationen dazu her.

====lftp====

[http://lftp.yar.ru/ lftp] ist ein sehr mächtiges FTP Programm für die Konsole. Es unterstützt SFTP und viele andere FTP Protokolle. Um sich zu schokokeks.org zu verbinden einfach den folgenden Befehl verwenden ("benutzername" durch den eigenen Benutzernamen ersetzen):

lftp sftp://benutzername@schokokeks.org/home/benutzername

Ähnlich wie rsync verfügt lftp über gute Mirror (Spiegeln von Daten) Funktionen.

====Nautilus und Konqueror====

Die Dateimanager von [http://www.gnome.org/ GNOME] und [http://www.kde.org/ KDE] beherrschen ebenso SFTP/SCP. Wenn man '''<nowiki>sftp://schokokeks.org/</nowiki>''' in der Adresszeile eingibt, verbinden sich die Dateimanager auf schokokeks.org.

Nautilus bringt seit der Version 2.6 den ''spacial mode'' mit. Das bedeutet, dass keine Adresszeile vorhanden ist. Entweder man tippt nun jedes mal '''ctrl + l''' und dann '''<nowiki>sftp://schokokeks.org</nowiki>''' oder man wählt '''Datei ---> Server verbinden''' und enthält hernach ein Icon auf dem Desktop, mit welchem man sich per Doppelklick auf den Keks verbinden kann.

Beim Konqueror besteht ebenfalls die Möglichkeit, per '''<nowiki>fish://schokokeks.org/</nowiki>''' zuzugreifen. Dabei wird dann kein SFTP sondern SSH direkt genutzt. Für unseren Server ist es egal (SFTP ist im Zweifel zu bevorzugen), bei anderen könnte SFTP deaktiviert sein.

====Filezilla====

Sehr einfaches und übersichtliches (S)FTP Programm. Im Feld "Host" bitte <nowiki>sftp://schokokeks.org</nowiki> eingeben, da schokokeks.org alleine nicht ausreicht, ansonsten ein sehr gutes Programm.

===Windows===

Leider gibt es für die Windows-Welt noch nicht so den Drang nach erhöhter Sicherheit, daher ist die Nachfrage (und damit wiederum das Angebot) an SSH-Clients nicht allzu groß. Dennoch gibt es auch hier vernünftige Clients, die eine Benutzung genau so einfach machen wie mit FTP.

====FileZilla====

FileZilla ist ein FTP-Client, der auch scp beherrscht. Es steht frei zum [http://filezilla.sourceforge.net Download]. Ich habe es nur mit wine testen können, es sieht recht vernünftig aus

====WinSCP====

[http://winscp.sourceforge.net/eng/ WinSCP] ist ein SFTP/SCP-only-Client, der Keylogin unterstützt und einen SSH-Agent mitbringt. Wir haben auch eine [[WinSCP|Anleitung zur Benutzung]].

====Putty====

Der wohl bekannteste SSH-Client für Windows ist [http://www.chiark.greenend.org.uk/~sgtatham/putty/ Putty].

Im Unterschied zu den oben genannten ist Putty kein Client um Dateien zu kopieren sondern zum besagten Fernzugriff mit einer Konsole. Der ganze Komfort, den eine Linux-Konsole bietet, ist mit Putty nutzbar, es lassen sich damit aber keine Dateien übertragen.

Es gibt auch das Programm PSCP (vom selben Autor) zum Kopieren von Dateien, da es aber (siehe oben) bessere Alternativen gibt, sei davon abgeraten.

[[Kategorie:OpenSSH]]

SSH, SFTP und FTP

2008-09-07T22:29:34Z

Ruderich: typo

==Warum kein FTP?==

Bei Verbindungen nach dem ''File-Transfer-Protocol'' besteht keine Möglichkeit, die Übertragung zu verschlüsseln. Auch übliche SSL-Tunnel-Lösungen sind aufgrund der Struktur des FTP technisch nicht möglich. Dies gilt sowohl für das Anmelden am FTP-Server (Zugangspasswort) als auch für die übertragenen Daten (evtl. MySQL-Passwörter, etc.).

Aufgrund dieser nicht behebbaren Schwachstellen haben wir uns entschlossen, keinen FTP-Zugang einzurichten. Die Alternativen über das SSH-Protokoll bieten die selben Möglichkeiten (und noch zahlreiche mehr), daher sollte dem Benutzer kein Nachteil entstehen.

==Was ist ssh / scp?==

SSH bedeutet '''''S'''ecure '''SH'''ell'' und beschreibt eine Methode zum verschlüsselten Zugriff auf entfernte Rechner. Mittels SSH ist die Bedienung eines fremden Rechners so möglich als würde man selbst an diesem sitzen. Dabei ist sowohl die Übertragung als auch die Anmeldung stark verschlüsselt und daher nicht von Dritten mitlesbar. Als zusätzlichen Komfort, besteht die Möglichkeit, sich mit [[Key-Login (OpenSSH)|SSH-Key]] anzumelden.

SCP ist eine Möglichkeit zum Übertragen von Dateien über eine verschlüsselte SSH-Verbindung.

SFTP ist eine FTP-Emulation, ebenfalls über SSH. Alle von FTP bekannten Funktionen können ebenfalls über SFTP benutzt werden. Durch die gleichzeitige Möglichkeit SSH als Konsole aufzurufen, erweitern sich die Möglichkeiten drastisch.

==Clients==

===Linux (teilweise auch Mac OS X)===

====scp====
scp ist das Standard-Programm auf jedem Unix-System mit OpenSSH.

scp quelldatei.txt server:pfad
scp server:pfad/quelldatei.txt /lokaler/pfad
scp -r quellordner/ server:
scp -r server:/home /tmp

====rsync====

Eine der bequemsten Möglichkeiten, die eigene Homepage aktuell zu halten, ist ''[http://samba.org/rsync/ rsync]''. ''rsync'' ist ein Programm zum Synchronisieren von beliebigen Verzeichnissen und es kann genauso lokal oder über eine SSH-Verbindung arbeiten.

Angenommen, die lokale Kopie der Homepage (die man bearbeitet) liegt unter ''/var/www/blablub.de'' und die öffentliche Version (die synchronisiert werden soll) liegt unter ''schokokeks.org:websites/blablub.de'', dann könnte der rsync-Befehl so aussehen:

rsync --quiet --recursive --links --safe-links --perms --rsh="ssh -q" --delete \
--compress /var/www/blablub.de/ schokokeks.org:websites/blablub.de/

Damit würde die Seite exakt so gespiegelt wie sie lokal vorliegt.

Wenn man nun online bestimmte Daten hat, die beim update nicht gelöscht oder überschrieben werden sollen, dann kann man diese ''--exclude [pattern]'' explizit ausschließen. Die Hilfeseite, die man mit ''man rsync'' lesen kann, gibt noch einige weitere Beispiele und Informationen dazu her.

====Nautilus und Konqueror====

Die Dateimanager von [http://www.gnome.org/ GNOME] und [http://www.kde.org/ KDE] beherrschen ebenso SFTP/SCP. Wenn man '''<nowiki>sftp://schokokeks.org/</nowiki>''' in der Adresszeile eingibt, verbinden sich die Dateimanager auf schokokeks.org.

Nautilus bringt seit der Version 2.6 den ''spacial mode'' mit. Das bedeutet, dass keine Adresszeile vorhanden ist. Entweder man tippt nun jedes mal '''ctrl + l''' und dann '''<nowiki>sftp://schokokeks.org</nowiki>''' oder man wählt '''Datei ---> Server verbinden''' und enthält hernach ein Icon auf dem Desktop, mit welchem man sich per Doppelklick auf den Keks verbinden kann.

Beim Konqueror besteht ebenfalls die Möglichkeit, per '''<nowiki>fish://schokokeks.org/</nowiki>''' zuzugreifen. Dabei wird dann kein SFTP sondern SSH direkt genutzt. Für unseren Server ist es egal (SFTP ist im Zweifel zu bevorzugen), bei anderen könnte SFTP deaktiviert sein.

====Filezilla====

Sehr einfaches und übersichtliches (S)FTP Programm. Im Feld "Host" bitte <nowiki>sftp://schokokeks.org</nowiki> eingeben, da schokokeks.org alleine nicht ausreicht, ansonsten ein sehr gutes Programm.

===Windows===

Leider gibt es für die Windows-Welt noch nicht so den Drang nach erhöhter Sicherheit, daher ist die Nachfrage (und damit wiederum das Angebot) an SSH-Clients nicht allzu groß. Dennoch gibt es auch hier vernünftige Clients, die eine Benutzung genau so einfach machen wie mit FTP.

====FileZilla====

FileZilla ist ein FTP-Client, der auch scp beherrscht. Es steht frei zum [http://filezilla.sourceforge.net Download]. Ich habe es nur mit wine testen können, es sieht recht vernünftig aus

====WinSCP====

[http://winscp.sourceforge.net/eng/ WinSCP] ist ein SFTP/SCP-only-Client, der Keylogin unterstützt und einen SSH-Agent mitbringt. Wir haben auch eine [[WinSCP|Anleitung zur Benutzung]].

====Putty====

Der wohl bekannteste SSH-Client für Windows ist [http://www.chiark.greenend.org.uk/~sgtatham/putty/ Putty].

Im Unterschied zu den oben genannten ist Putty kein Client um Dateien zu kopieren sondern zum besagten Fernzugriff mit einer Konsole. Der ganze Komfort, den eine Linux-Konsole bietet, ist mit Putty nutzbar, es lassen sich damit aber keine Dateien übertragen.

Es gibt auch das Programm PSCP (vom selben Autor) zum Kopieren von Dateien, da es aber (siehe oben) bessere Alternativen gibt, sei davon abgeraten.

[[Kategorie:OpenSSH]]

FAQ

2008-09-07T22:17:39Z

Ruderich: typo

Wir setzen stark auf die Kommunikation zwischen Betreibern und Kunden. Daher freuen wir uns immer, wenn Sie sich bei Fragen und Problemen direkt an uns wenden.

Einige Fragen treten jedoch immer wieder auf und lassen sich hier allgemeingültig beantworten.

=Allgemein=

====Was muss ich machen um einen Account zu erhalten?====

Um einen Account zu den [http://www.schokokeks.org/preise regulären Konditionen] zu erhalten, schreiben Sie uns einfach einen entsprechenden Auftrag per [mailto:root@schokokeks.org E-Mail]. Sollten Sie sich schon entschieden haben, brauchen wir folgende Informationen von Ihnen:
* Den gewünschten Benutzernamen für Ihren Account, bestehend aus Kleinbuchstaben und Zahlen.
* Die Adresse des Rechnungsempfängers.
* Den gewünschten Tarif (bzw. die gewünschte Laufzeit) wie in der [http://www.schokokeks.org/preise Preisübersicht] angegeben.
* Sofern Sie Bankabbuchung als Zahlungsart wünschen, Ihre Bankverbindung.
* Sofern vorhanden: Einen öffentlichen PGP- oder SSH-Schlüssel. Ist wenigstens einer von beiden vorhanden, muss kein Passwort im Klartext per E-Mail verschickt werden.

====Gibt es Ermäßigungen, wenn ich Kunden für schokokeks.org werbe?====

Ja, für alle Benutzer besteht die Möglichkeit, durch Kundenwerbung zwei Monate Gebührenerlass pro Neukunde zu erhalten (vorausgesetzt der Kunde wählt den selben Tarif, ansonsten gilt der jeweils günstigere Tarif).

=Domains=

====Wie viele Domains enthält die Grundgebühr?====

Gar keine.

Der Grund ist einfach: Unser Angebot kann vollständig ohne Domains genutzt werden. Wir möchten also nicht die Kosten für eine oder mehrere Inclusivdomains auf alle Grundgebühren aufaddieren, obwohl manche Kunden gar keine Domain möchten.

====Kann ich meinen Account auch ohne Domain verwenden?====

Ja.

Wir stellen jedem Benutzer eine Subdomain der Form ''benutzername''.schokokeks.org zur Verfügung, unter der per Webinterface beliebig viele eigene Subdomains erstellt werden können.
Für den E-Mail-Verkehr bekommt jeder Benutzer eine Adresse der Form ''benutzername''@schokokeks.org. Damit sind auch automatisch beliebig viele Adressen in der Form ''benutzername''-erweiterung@schokokeks.org nutzbar.

====Was kosten Domains?====

siehe: http://www.schokokeks.org/preise

====Wie lange dauert die Registrierung einer Domain?====

Eine Domain-Registrierung läuft technisch in der Regel innerhalb weniger Minuten durch. Bei zeitkritischen Registrierungen sollten Sie uns per Jabber oder Telefon informieren, da wir die Registrierung manuell durchführen müssen.

Nach der Registrierung ist die Domain sofort für Sie reserviert und kann nicht mehr von Dritten weggenommen werden. Bis eine registrierte Domain im Internet nutzbar wird, vergehen allerdings mehrere Stunden, bedingt durch die Aktualisierungen im DNS-System.

====Wie lange dauert der Umzug einer Domain?====

Technisch dauert der Umzug genau so lang wie eine Neuregistrierung. Allerdings ist es notwendig, dass der bisherige Provider diesem Umzug zwischendurch zustimmt. Oft dauert diese Zustimmung ein oder zwei Tage.

====Wie läuft ein Domain-Umzug ab?====

Beim Umzug einer Domain müssen sie zuerst Ihren bisherigen Provider informieren. Meist geschieht dies durch Kündigung der Domain mit dem Vermerk '''KK''' bzw. '''Transfer'''. Kündigen Sie auf keinen Fall die Domain zur Löschung, dabei kann die Domain verloren gehen.

Sollte ihr bisheriger Provider keine speziellen Formulare dafür anbieten, können wir Ihnen ein allgemeines Domain-Transfer-Formular ausstellen, mit dem Sie den bevorstehenden Domain-Umzug ordnungsgemäß anmelden können.

Erst wenn Ihr bisheriger Provider die Kündigung bzw. Transfer-Freigabe der Domain bestätigt, kann von unserer Seite der Umzug in Auftrag gegeben werden.

====Warum sehe ich einen Fehler 404 wenn ich meine neue Domain aufrufe?====

Sobald eine Domain in unserem System eingetragen ist, kann diese über unser [https://config.schokokeks.org/ Webinterface] verwaltet werden. Wir nehmen '''keine''' Standard-Konfiguration vor, da dies unerwünschte Effekte haben kann.

Sie können mit einfachen Mitteln einen passenden Eintrag für die Domain erstellen oder die Domain als Alias zu einer anderen Domain einrichten.

Vergessen sie nicht, ggf. den im Webinterface ausgewählten Ordner auch zu erstellen. Sollten Sie keinen eigenen Ordner angegeben haben, muss das Verzeichnis '''/home/''benutzername''/websites/''domainname''/htdocs''' existieren.

====Warum sehe ich einen Fehler 403 wenn ich meine neue Domain aufrufe?====

Wenn Sie Ihre Domain in unserem Webinterface eingerichtet haben und den passenden Ordner erstellt haben, kann der Fehler 403 zwei gängige Ursachen haben:
# Sie haben keine Daten hinterlegt. In diesem Fall würde der Server gerne ein ''Directory Listing'' machen, also alle vorhandenen Dateien anzeigen. Dies ist aber aus Sicherheitsgründen deaktiviert (bis Sie es manuell einschalten).
# Eventuell haben Sie beim Anlegen des Verzeichnisses irgendwelche Dateirechte verändert. Es muss gewährleistet sein, dass der Benutzer ''apache'' Zugriff auf dieses Verzeichnis inklusive aller Zwischenebenen erhält.

=Benutzeraccounts=

====Wie lange dauert die Einrichtung eines Benutzeraccounts?====

In der Regel wird der Benutzeraccount gleichzeitig mit dem Kunden-Account in kürzester Zeit angelegt. Sie können diesen dann sofort nutzen.

====Kann ich mehrere Benutzeraccounts bekommen?====

Unter Umständen schon. Dies würden wir gerne persönlich mit Ihnen klären.

====Kann ich auf meine Daten auch per FTP zugreifen?====

Nein. Das FTP-Protokoll ist eines der ältesten Internet-Protokolle überhaupt und stammt aus einer Zeit in der Sicherheit noch nicht notwendig war. Durch den internen Aufbau des FTP-Protokolls ist es sehr kompliziert, sowohl FTP-Login-Daten als auch die übertragenen Daten zu verschlüsseln. Die meisten FTP-Programme können dies nicht. Da wir ganz bewusst keine unverschlüsselten Zugänge anbieten möchten, wäre ein FTP-Zugang also auch nur begrenzt sinnvoll.

Mit SFTP (FTP über SSH) steht eine in den Funktionen gleichwertige Alternative bereit, bei der Verschlüsselung durch das SSH-Protokoll vollständig vorgesehen ist. Die FTP-Programme, die vollständig verschlüsseltes FTP können, sind meist auch in der Lage, sich per SFTP zu verbinden.

siehe auch: [[SFTP und SCP]]

====Wie viel meines Speicherplatzes steht für MySQL-Datenbank und E-Mail zur Verfügung?====

Zur Zeit werden diese Limits nicht technisch überwacht. Die Regelung ist jedoch: Der Speicherplatz aller Ihrer Daten wird addiert und ergibt den verbrauchten Speicherplatz.

====Kann ich in meinem SSH-Zugang auch Programme dauerhaft laufen lassen?====

Bedingt ja.

Es besteht die Möglichkeit, z.B. mittels ''screen'' Programme zu starten, die nach dem SSH-logout weiter laufen. Damit kann z.B. ein IRC-Client, E-Mail-Programm oder ähnliches dauerhaft laufen.

Wir erwarten jedoch, dass Sie mit dieser Funktion nur Client-Programme nutzen, die die Belastung des Systems nicht signifikant erhöhen. Finden wir einen Dienst oder ein Programm, das längere Zeit viele Ressourcen bindet, behalten wir uns vor, dieses zu beenden. Sollten Sie einen Server-Dienst mit dieser Funktion starten wollen, möchten wir dies gerne explizit vorher wissen und behalten uns ein Veto vor.

====Kann ich eigene Programme in meinem Home-Verzeichnis kompilieren bzw. kompilierte Programme hochladen?====

Bedingt ja.

Es stehen Ihnen alle Tools zur Verfügung, die zum Kompilieren aller gängigen Programmiersprachen nötig sind. Für die Verwendung eigener Programme soll jedoch der selbe Grundsatz gelten wie im vorangegangenen Abschnitt. Wir möchten über alle Programme informiert werden, die Server-Dienste jeglicher Form bereitstellen und behalten uns ein Veto vor. Bei Client-Programmen erwarten wir, dass diese nicht längerfristig eine nennenswerte System-Auslastung erzeugen.

Miranda

2008-09-07T21:56:49Z

Ruderich: typo

[http://www.miranda-im.org Miranda] ist ein Multi-Protokoll IM-Client für Windows. Die Software ist OpenSource und kann kostenlos heruntergeladen werden.
Die Einstellungen für die Benutzeraccounts befinden sich im Miranda Menü unter ''Options''.

=Einrichten=
Bei Miranda werden die Zugangsdaten wie folgt eingetragen:

* Gehe im Options Dialog zu ''Network > Jabber''.
* Ins Feld ''Username'' kommt der erste Teil der Jabber-ID. Sprich wenn die Jabber-ID "name@domain.de" lautet, würde man hier nur "name" eintragen.
* Passwort ist klar.
* Unter ''Login Server'' trägt man dann die domain ein. Also in unserem Fall "domain.de":
* Das Häckchen ''SSL'' sollte man auch bei Miranda nicht vergessen, da Schokokeks nur SSL Verbindungen für Jabber erlaubt.
* Im Expert Bereich muss man dann noch den manuellen ''Connection Host'' aktivieren. Der heißt unabhängig von der Domain in der Jabber-ID immer schokokeks.org der ''Port'' lautet 5223.

Damit sollte alles funktionieren.

{{AlertBox
|title=Sie können kein Konto mit Miranda selbst erstellen
|content=Die Anmeldung neuer Konten direkt aus einem Jabber-Client ist nicht aktiviert. Bitte benutzen Sie das Web-Interface zur Erstellung neuer Jabber-Konten
}}

=Screenshot=
[[bild:miranda.png|Miranda Options]]

[[Kategorie:Jabber]]

Clients (Jabber)

2008-09-07T21:42:27Z

Ruderich: +Miranda, +Links zu Anleitungen

Um das freie, XMPP-basierte, Instant-Messaging Protokoll Jabber zu verwenden, gibt es eine Reihe von Clients für unterschiedliche Plattformen und Bedürfnisse.

{| style="margin: 10px; border-spacing: 5px;"
|'''Client'''||'''Mehrere Protokolle'''||'''Service-Discovery'''||'''MUC'''||'''TLS / Old SSL'''||'''GnuPG / OTR'''||'''Plattformen'''||'''Anleitung'''
|-- style="background: #efefef"
|[http://adiumx.com/ Adium]||Ja||Nein||Ja||Ja / Ja||Nein / Ja||Mac OS X||
|--
|[http://gajim.org/ Gajim]||Nein||Ja||Ja||Ja / Ja||Ja / Nein||Linux||[[Gajim]]
|-- style="background: #efefef"
|[http://kopete.kde.org/ Kopete]||Ja||Ja||Ja||Ja / Ja||Ja / [http://kopete-otr.follefuder.org/ Plugin]||Linux||
|--
|[http://www.miranda-im.org/ Miranda]||Ja||?||?||?||?||Windows||[[Miranda]]
|-- style="background: #efefef"
|[http://pidgin.im/ Pidgin]||Ja||Nein||Ja||Ja / Ja||Nein / [http://www.cypherpunks.ca/otr/ Plugin]||Linux, Windows||[[Pidgin]]
|--
|[http://psi-im.org/ PSI]||Nein||Ja||Ja||Nein / Ja||Ja / Nein||Linux, Windows, Mac OS X||
|}

[[Kategorie:Jabber]]

E-Mail/Anwendungsprogramme

2008-09-06T21:05:15Z

Ruderich: +Links zu Anwendungen

Prinzipiell ist jedes handelsübliche E-Mail-Programm geeignet, mit unserem Server zu kommunizieren.

Es gibt nur eine Einschränkung: Unsere Dienste werden nur über SSL-verschlüsselte Verbindungen angeboten. Diese Verschlüsselung lässt sich in jedem E-Mail-Programm aktivieren.

= Empfangen / Senden =

Die folgenden Einstellungen gelten programmunabhängig.

* Server: <tt>example.org</tt>
* Benutzername: <tt>benutzername@example.org</tt>
* Password: <tt>passwort</tt>
* SSL: <tt>ja</tt>

= Anwendungsprogramme =

Für die folgenden Programme sind Anleitungen verfügbar:

* [[E-Mail/Anwendungsprogramme/KMail|KMail]]
* [[E-Mail/Anwendungsprogramme/Sylpheed-claws|Sylpheed-claws]]
* [[E-Mail/Anwendungsprogramme/Thunderbird|Thunderbird]]
* [[E-Mail/Anwendungsprogramme/mail.app|Mail.app]] (Mac OS X)
* [[E-Mail/Anwendungsprogramme/mutt|mutt]]
* [[E-Mail/Anwendungsprogramme/stunnel|stunnel]]
* [[E-Mail/Getmail|getmail]]

[[Kategorie:E-Mail/Anwendungsprogramme|!]]

Einmalpasswörter

2008-09-04T21:40:12Z

Ruderich: typo

Wenn man sich von einem Rechner, den andere Personen kontrollieren können (Internet-Café, bei Fremden, ...) mit einem Passwort einloggen möchte, besteht immer die reale Gefahr, dass der Rechner das Passwort irgendwo protokolliert ("Keylogger") und damit andere Personen Zugriff auf das Passwort und damit den benutzten Account haben.

Um diesem Problem ohne zusätzliche Hardware zu begegnen gibt es eigentlich nur eine funktionierende Lösung: One-Time-Passwords bzw. Einmalpasswörter (kurz: OTP).

Das Prinzip ist wie beim TAN-Verfahren im Online-Banking, dass es eine Liste von möglichen Passwörtern gibt und jedes kann nur einmal benutzt werden.

==S/Key==

Wir setzen für diesen Zweck '''S/Key''' ein. Dieses System kommt von OpenBSD.

Diese Einmalpasswörter haben zwei interessante Vorteile:

# die Einmalpasswörter werden aus einer für den Benutzer eindeutigen ID, der OTP-Nummer und einem geheimen (konstanten) Passwort errechnet und nicht zufällig erzeugt. Es ist daher immer möglich, unter Kenntnis des konstanten Passworts das aktuell gültige OTP zu erzeugen.
# die Passwörter sind zwar relativ lang, aber sie werden als 2- bis 4-buchstabige englische Wörter ausgegeben, so dass man nicht Buchstabe für Buchstabe irgendwelche Zufallsfolgen eingeben muss sondern ein solches Passwort recht einfach von z.B. einem Zettel abschreiben kann.

Die Berechnung gültiger OTPs ist entweder mit dem Programm "skey" (bei uns installiert) oder auch über andere skey-kompatible Generatoren möglich. Solche Generatoren gibt es auch für Handys und PDAs, so dass man eventuell so einen Passwort-Generator immer dabei haben kann.

Beispiel für Java-fähige Handys: [http://fatsquirrel.org/software/vejotp/ VeJOTP].

==Einrichtung==

Vor der aller ersten Benutzung muss der Account für S/Key freigeschaltet werden und eine initiale Passwortliste erzeugt werden. Dies geschieht mit folgendem Befehl:

skeyinit -t sha1

{{AlertBox
|title=Bitte beachten Sie:
|content=Wir verwenden in diesem Beispiel den Hash-Algorithmus '''SHA1'''. Die Voreinstellung, MD5 ist sehr alt und gilt mittlerweile als nicht mehr sicher. Eventuell können Sie aber nicht mit jedem S/Key-kompatiblen Programm SHA1-Passwörter erzeugen.
}}

Dieses fragt folgende Dinge ab:

# Das normale Passwort (damit sich nicht ein Dritter Zugang verschaffen kann, nur weil man eine Konsole offen gelassen hat).
# Ein neues, sicheres Passwort. Es wird verlangt, dass dieses Passwort mindestens 10 Zeichen hat. Da man sich alleine mit Kenntnis dieses Passworts einloggen kann, sollte das auch wirklich ein gutes Passwort sein.
# Eine Wiederholung des gerade eingegebenen Passworts.

Es werden dann 100 OTPs erzeugt. S/Key nummeriert die OTPs absteigend, beginnend bei 99. So sieht man immer, wie viele man noch übrig hat.

Danach gibt es das erste OTP aus, das für den nächsten Login benutzt werden kann.

==Benutzung==

Wenn für den Benutzer eine Passwortliste hinterlegt ist, dann wird beim Login wahlweise das OTP oder das normale Passwort akzeptiert. Ein Login per SSH-Key geht natürlich ebenfalls weiterhin.

Beim Login zeigt S/Key dann etwas wie folgendes an:

otp-sha1 98 zuck45464
S/Key response or system password:

Er erwartet also SHA1-Passwort Nummer ''98'' für die Passwortliste mit der ID ''zuck45464''. Mit diesen Informationen kann man sich z.B. mittels

skey -t sha1 98 zuck45464

auf einem kompatiblen Gerät unter Eingabe des geheimen Passworts das passende OTP errechnen lassen.

{{AlertBox
|title=Wichtig
|content=Natürlich darf der als unsicher eingestufte Rechner '''nicht''' dazu benutzt werden, das OTP zu errechnen. Denn dazu muss das geheime Passwort eingegeben werden, mit dem ein Angreifer selbst weitere OTPs erzeugen kann.
}}

==Passwörter für unterwegs==

Da man nicht immer die Möglichkeit hat, Passwörter digital errechnen zu lassen, kann man sich auch eine Liste der kommenden Passwörter z.B. auf Papier ausdrucken und mitnehmen.

Eine Liste von 10 OTPs für die S/Key-Liste ''zuck45464'' beginnend ab Nummer 95 erhält man mit dem Befehl

skey -n '''10''' 95 zuck45464

==Erneuern der Passwortliste==

Sind alle OTPs verbraucht oder besteht Grund zur Annahme, dass das sichere Passwort doch nicht mehr so sicher ist, dann kann die Passwortliste erneuert werden. Das geht einfach wieder mit dem Befehl

skeyinit -t sha1

Mit diesem Befehl werden automatisch alle vorher erzeugten Einmalpasswörter ungültig. Dies ist also geeignet, wenn man z.B. eine Papier-Liste verloren hat.

==Passwortliste löschen==

Braucht man eine Liste nicht mehr, dann kann man mit

skeyinit -z

die komplette Liste löschen und damit die Benutzung von S/Key für diesen Benutzeraccount abschalten.

Jabber

2008-09-03T21:40:38Z

Ruderich: typo

Für unsere Benutzer bieten wir einen Jabber-Server an.

=Was ist Jabber=

Jabber ist ein sog. ''Instant-Messaging-Dienst'', also ein Dienst über den man direkt mit anderen Benutzern in Kontakt treten kann. Ähnliche Techniken sind z.B. ICQ, YahooMessenger oder MSN. Im Gegensatz zu den genannten Techniken ist Jabber das einzige Verfahren, bei dem alle beteiligten Komponenten (Server-Programm, Client-Programm und Spezifikation der Übertragung) in einem offenen Prozess entwickelt wurden und als Freie Software zur Verfügung stehen. Das bedeutet, jeder kann einen Jabber-Server betreiben und ein geeignetes Jabber-Client-Programm ist für praktisch alle Plattformen verfügbar. Ein weiterer Vorteil ist, dass Jabber dezentral arbeitet. Das bedeutet, eine ''Jabber-ID'' besteht, genau wie eine E-Mail-Adresse, aus einem Benutzernamen und einer Domain. Wenn ein Benutzer unseres Servers eine Jabber-Nachricht an einen Benutzer eines anderen Servers schreiben möchte (zu erkennen an der Domain), dann wird diese von Server zu Server weitergeleitet.

=Account beantragen=

In der Vergangenheit boten wir kostenlose Jabber-Accounts an. Dies haben wir inzwischen abgestellt. Jedoch werden Accounts, die zu dieser Zeit angelegt wurden, weiterhin verfügbar bleiben.

schokokeks.org-Kunden können weiterhin Jabber-Accounts anlegen. Dies kann jedoch nicht mit einem Jabber-Client gemacht werden. Um einen Jabber-Account anzulegen verwenden Sie bitte das [https://config.schokokeks.org Konfigurationsinterface].

{{AlertBox
|title=Vorsicht bei der Auswahl des Kennworts
|content=Bei der Auswahl des Jabber Kennworts werden derzeit leider keine Sonderzeichen unterstützt. Leider fängt das Webinterface dies bisher noch nicht ab.
}}

Als besonderes Gimmick bieten wir an, eine Jabber-Kennung mit einer eigenen Domain zu verbinden. Das heißt wer seine Domain auf unserem Server betreibt, kann mit einer kurzen Mail erreichen, dass er auch Jabber-IDs bekommen kann, die auf seine eigene Domain enden.

=Verbindungseinstellungen=

Aus Sicherheitsgründen erlauben wir (wie bei allen Anmeldeverfahren) nur eine verschlüsselte Anmeldung. Alle Jabber-Programme müssen also '''SSL''' benutzen, diese Einstellung muss eingeschaltet werden. Sollte Ihr Programm auch '''TLS''' beherrschen, wählen Sie bitte '''TLS''' aus.

=Probleme mit Transports=

Jabber bietet sogenannte Transports an, mit denen eine Verknüpfung mit Accounts anderer, proprietärer IM-Systeme (ICQ, AIM, MSN etc.) möglich ist. Da diese Systeme jedoch nicht dokumentiert sind und des öfteren ihr Protokoll unangekündigt wechseln, kann ein störungsfreies Funktionieren hier nicht garantiert werden.

Da inzwischen auch von einigen großen Anbietern Jabber genutzt wird (gmail, gmx), empfehlen wir, wenn immer möglich, auf diese Möglichkeit auszuweichen.

==MSN Probleme, Stand November 2007==

MSN änderte im November sein Protokoll, für den von uns verwendeten Transport PyMSNt steht bislang kein Update zur Verfügung. Dies führt zu permanenten Verbindungsabbrüchen.

http://delx.cjb.net/pymsnt/

=Clients=
Es gibt unterschiedliche [[Clients (Jabber)|Jabber-Clients]]. Zu folgenden gibt es hier im Wiki Anleitungen:

[[Pidgin]] (früher Gaim) - Einen Schokokeks Jabber Account unter Pidgin einrichten.

[[Gajim]] - Einen Schokokeks Jabber Account unter Gajim einrichten.

[[Miranda]] - Einen Schokokeks Jabber Account unter Miranda einrichten.

=Links=
* [http://de.wikipedia.org/wiki/Jabber Jabber bei der Wikipedia] Artikel zu Jabber mit Clientliste

[[Kategorie:Jabber]]

IRC-Transport

2008-09-03T21:37:06Z

Ruderich: typo

Schokokeks bietet einen Dienst, der es erlaubt IRC bequem über Jabber zu nutzen.

Fügen Sie den ejabberd/irc_mod zu Ihrer Transport-Liste hinzu. Nun wird ein Fenster erscheinen, in das Sie Ihren Nicknamen und die gewünschten Zeichensätze eintragen können.

Danach betreten Sie einen neuen Chatraum und stellen Sie Raumname und Server nach folgendem Schema ein:

* Raumname: ''channel%server.tld''
* Server: ''irc.schokokeks.org''

Beachten Sie bitte, dass bei Channel ''#irc'' nur ''irc'' als Channel angegeben werden darf!

[[Kategorie:Jabber]]
[[Kategorie:IRC]]

E-Mail/Anti-Spam

2008-09-02T22:37:04Z

Ruderich: typo

Um unsere Benutzer so gut wie möglich vor Spam-E-Mails zu schützen, implementieren wir folgende Anti-Spam-Regeln.

==DNS-Blacklists==

Wir verwenden folgende Regeln anhand von DNS-Blacklists. Diese Listen enthalten IP-Adressen und wir prüfen lediglich nach, ob eine bestimmte IP-Adresse in einer bestimmten Liste steht.

{| border="1"
! Liste !! Beschreibung !! Aktion
|-
| zombie.dnsbl.sorbs.net || Zombie-Rechner, also Rechner die sich so verhalten, dass man annehmen muss, sie sind von Spam-Absendern ferngesteuert || permanenter Fehler, von diesen Rechnern nehmen wir nichts an
|-
| dnsbl.sorbs.net || Rechner, die auf irgendeiner Liste von SORBS stehen. Das sind z.B. alle dynamischen (eingewählten) Rechner, alle Rechner deren Admins nicht auf Beschwerden reagieren und dergleichen || Hier wird die HELO-Angabe nach unten stehenden Regeln überprüft
|-
| pl.rbl.cluecentral.net || Rechner aus Polen || Hier wird die HELO-Angabe nach unten stehenden Regeln überprüft
|-
| ro.rbl.cluecentral.net || Rechner aus Rumänien || Hier wird die HELO-Angabe nach unten stehenden Regeln überprüft
|-
| kr.rbl.cluecentral.net || Rechner aus Korea || Hier wird die HELO-Angabe nach unten stehenden Regeln überprüft
|-
| cn.rbl.cluecentral.net || Rechner aus China || Hier wird die HELO-Angabe nach unten stehenden Regeln überprüft
|-
| jp.rbl.cluecentral.net || Rechner aus Japan || Hier wird die HELO-Angabe nach unten stehenden Regeln überprüft
|}

==SMTP-seitig==

Bevor unser Server eine E-Mail letztlich akzeptiert, werden die Angaben des Gegenüber zuerst geprüft. Folgende Tabelle zeigt die möglichen Fehler bei jedem Schritt.

{| border="1"
! Als Antwort auf !! temporärer Fehler !! permanenter Fehler
|-
| HELO || - || SPF-Eintrag für Hostname oder Domain der HELO-Angabe vorhanden aber IP-Adresse nicht erlaubt
|-
| HELO (wenn dieses wegen DNS-Blacklist-Eintrag geprüft werden soll) || DNS-Server der Domain nicht erreichbar || keine gültige Domain, Hostname zeigt nicht auf verbundene IP-Adresse
|-
| MAIL FROM || DNS-Server der Domain nicht erreichbar || Domain syntaktisch nicht korrekt, Domain nicht gefunden, keine spitzen Klammern um die Adresse, kein Mailserver für eine Antwort zu ermitteln (DNS-Einstellungen der Domain kaputt)
|-
| RCPT TO || Mail an diesen Empfänger erzeugten bereits vorher temporäre Fehler (Fehlkonfiguration) || Empfänger unbekannt, Empfänger nicht lokal (Relaying)
|-
| DATA || Erster Versuch beim [[/Greylisting|Greylisting]] || -
|}

==Informationen zum HELO-Check==

Laut [http://www.ietf.org/rfc/rfc2821.txt RFC 2821, Abschnitt 4.1.1.1] muss sich ein Rechner stets mit seinem korrekten Hostname (FQDN) melden. Sofern er keinen Hostname hat, ist eine IP-Adresse zu senden.

Eigentlich sind sämtliche Mail-Server falsch konfiguriert, die sich mit einem anderen als ihrem eigenen Namen melden. Leider gibt es aber zu viele Mail-Server um diese Bedingung durchzusetzen. Oft melden sich Mail-Server nur mit ihrer Domain, die gar nicht oder zu einem anderen Rechner aufgelöst werden kann.

Daher haben wir uns entschieden, diese Richtlinie nur von bestimmten Rechnern zu verlangen (siehe oben). Das sind Rechner, von denen ungleich mehr Spam kommt als von anderen. Jeder Mail-Server-Administrator hat die Möglichkeit, sein System korrekt zu konfigurieren und wird dann, auch wenn er auf einer der Blacklists steht, keine Probleme haben, E-Mails an unsere Benutzer zu senden.

E-Mail/Anwendungsprogramme

2008-09-02T22:34:26Z

Ruderich: allgemeine Einstellungen hinzugefügt

[[Kategorie:E-Mail/Anwendungsprogramme|!]]
Prinzipiell ist jedes handelsübliche E-Mail-Programm geeignet, mit unserem Server zu kommunizieren.

Es gibt nur eine Einschränkung: Unsere Dienste werden nur über SSL-verschlüsselte Verbindungen angeboten. Diese Verschlüsselung lässt sich in jedem E-Mail-Programm aktivieren.

= Empfangen / Senden =

Die folgenden Einstellungen gelten programmunabhängig.

* Server: <tt>example.org</tt>
* Benutzername: <tt>benutzername@example.org</tt>
* Password: <tt>passwort</tt>
* SSL: <tt>ja</tt>

Directory Listing

2008-09-02T22:00:20Z

Ruderich: typo

Wir haben im Webserver eingestellt, dass Verzeichnis-Inhalte nicht automatisch als Dateiliste angezeigt werden wenn keine ''index.html'' bzw. ''index.php''-Datei vorhanden ist. Der Grund dafür ist, dass ein vergessenes Index-Dokument nicht dazu führen sollte, dass alle Welt sieht, was man alles für Dateien hat.

==Zugriffsrechte==

Wie auf unserer Extra-Seite zum Thema [[Zugriffsrechte (Apache)|Zugriffsrechte]] beschrieben, muss der Webserver zuerst per ACL Lese- und Betretungsrecht bekommen.

setfacl -m u:apache:rx '''''verzeichnis'''''

Dies ist im Normalfall schon so eingestellt.

==Directory-Listing freischalten==

Mittels einer Datei '''.htaccess''' muss dem Webserver mitgeteilt werden, dass er das betreffende Verzeichnis und alle Unterverzeichnisse als Dateiliste aufbereiten darf.

Diese Datei muss folgenden Inhalt haben:

Options +Indexes

Die Datei kann in jedem Verzeichnis liegen und gilt dabei für das aktuelle und alle darunter liegenden Verzeichnisse. Somit kann eine gesamte Domain oder auch nur ein einzelnes Unterverzeichnis freigegeben werden.

==Für einzelne Unterordner wieder sperren==

Natürlich kann diese Dateiliste auch für einzelne Unterordner eines freigegebenen Ordners wieder abgeschaltet werden.

Dafür gibt es zwei Möglichkeiten:

===per .htaccess===

Analog zum oben beschriebenen Weg, kann man mit einer neuen '''.htaccess'''-Datei auch wieder die Dateiliste für einzelne Ordner abschalten. Dazu muss die Datei diesen Inhalt haben:

Options -Indexes

===per ACLs===

Sobald der Apache keine Leserechte mehr auf ein Verzeichnis hat, kann er keine Dateiliste mehr anzeigen. Das Leserecht kann man einfach mittels

setfacl -m u:apache:x '''''verzeichnis'''''

entfernen (»nur Betreten«).

Das betreffend gesperrte Verzeichnis wird in der Liste des übergeordneten Verzeichnisses erst gar nicht angezeigt.

Datenschutz

2008-09-02T22:00:13Z

Ruderich: typo

In einem Urteil hat das Berliner Amtsgericht untersagt, IP-Adressen von Webseiten-Zugriffen zu speichern. Im Moment ist unklar, welche Breitenwirkung dieses Urteil hat.

http://www.heise.de/newsticker/meldung/96781

http://www.daten-speicherung.de/?p=197

Wir sammeln auf dieser Seite Informationen, wie man gängige Webanwendungen möglichst datenschutzfreundlich konfigurieren kann und empfehlen allen Kunden, die Speicherung von personenbezogenen Daten auf ein Minimum zu reduzieren.

== Richtlinien auf schokokeks.org ==

* Im Fehlerprotokoll (error_log) wird grundsätzlich keine IP-Adresse mehr aufgezeichnet.
* Im Webinterface kann für jede Subdomain gewählt werden, ob Logfiles erstellt werden sollen oder nicht. Zudem steht die Option "anonym" zur Verfügung, mit der die IP-Adresse nicht protokolliert wird.
* Über die Besucher unserer eigenen Websites werden generell keine Logfiles mehr angelegt. Im geschützten Bereich des Webinterface (https://config.schokokeks.org) werden für manche Aktionen trotzdem weiterhin Protokolle aufgezeichnet, wenn dies zum Betrieb bzw. der Fehlersuche erforderlich ist.

== Tipps für Webanwendungen ==

=== Drupal ===

Speichert in der Standardeinstellung alle Zugriffe in einer SQL-Datenbank.

Unter der URL
/admin/logs/settings
kann dies abgeschaltet werden. Neben der Datenschutzproblematik empfehlen wir auch aus Performancegründen, die beiden Optionen '''Zugriffsstatistik aktivieren''' und '''Inhaltsabrufe zählen''' zu deaktivieren.

Die Zugriffe werden in der Datenbank '''accesslog''' gespeichert, diese sollte man anschließend leeren.

Weitere Infos: http://docs.indymedia.org/view/Devel/ImcDrupalDevAnonymization

=== Serendipity ===

Die Option '''Enable referrer tracking''' unter '''Appearance and Options''' sollte ausgeschaltet werden.

Im '''Spam Protector''' Plugin sollte '''Choose logging method''' auf '''No Logging''' stehen.

In der Datei '''serendipity_config_local.inc.php''' kann man den Inhalt bestimmter Variablen löschen oder überschreiben, damit z.B. statt der IP von Kommentatoren nur noch Standardwerte gespeichert werden. Diese Einstellung betrifft u.a. die Mails über neue Kommentare, die Einträge in der Kommentar-Tabelle und Einträge im Spam-Log.

// End of Serendipity configuration file
// You can place your own special variables after here:
$_SERVER['REMOTE_ADDR'] = '0.0.0.0';
$_SERVER['REMOTE_HOST'] = 'localhost';

=== Scuttle ===

Scuttle speichert üblicherweise IPs bei allen neuen Useraccounts und Bookmarks. Ein Patch um dies zu verhindern: http://sourceforge.net/tracker/index.php?func=detail&aid=1807218&group_id=134378&atid=729862

E-Mail/Courier-Kompatibilität von Programmen

2008-09-02T21:48:44Z

Ruderich: typo

[[Category:E-Mail]]
Leider ist es mit der Umstellung des Mailservers notwendig, manche Programme zu ersetzen. Nachfolgende Liste soll diese Programme aufzählen und mögliche Alternativen nennen.

Beachten Sie bitte auch die Hinweise über [[Unterschiede zwischen QMail und Courier]].

===ezmlm/idx===
Diese Mailinglisten-Manager greift zur Zustellung von Nachrichten direkt auf sehr grundlegende Funktionen von QMail zu. Das lässt sich nicht leider nicht auf Courier übertragen und kann nicht mehr weiter benutzt werden.

Als Alternative wurde von uns der Mailinglisten-Manager [http://www.list.org MailMan] eingerichtet. Leider bietet Mailman nicht die selbe Flexibilität und kann nicht vollständig von Benutzern selbst eingerichtet werden. Bitte nehmen Sie mit den Administratoren Kontakt auf, wenn Sie eine Mailingliste einrichten möchten. Wir werden Sie gerne bei der Migration unterstützen.

===qmail-autoresponder===
Auch dieses Programm greift auf die internen Funktionen von QMail zurück und lässt sich nicht mit courier betreiben. Als Alternative wird bei Courier ein vergleichbares Programm namens ''mailbot'' mitgeliefert. Die Konfiguration kann vom Benutzer selbst erledigt werden und ist auf der folgenden Seite näher beschrieben: [[Autoresponder]]. Sollten Sie Fragen haben, helfen wir auch hier gerne weiter.

Clients (Jabber)

2008-09-02T21:44:51Z

Ruderich: +Adium für OS X, Linkfix PSI, sortiert

[[Kategorie:Jabber]]
Um das freie, XMPP-basierte, Instant-Messaging Protokoll Jabber zu verwenden, gibt es eine Reihe von Clients für unterschiedliche Plattformen und Bedürfnisse.

{| style="margin: 10px; border-spacing: 5px;"
|'''Client'''||'''Mehrere Protokolle'''||'''Service-Discovery'''||'''MUC'''||'''TLS / Old SSL'''||'''GnuPG / OTR'''||'''Plattformen'''
|-- style="background: #efefef"
|[http://adiumx.com/ Adium]||Ja||Nein||Ja||Ja / Ja||Nein / Ja||Mac OS X
|--
|[http://gajim.org/ Gajim]||Nein||Ja||Ja||Ja / Ja||Ja / Nein||Linux
|-- style="background: #efefef"
|[http://kopete.kde.org/ Kopete]||Ja||Ja||Ja||Ja / Ja||Ja / [http://kopete-otr.follefuder.org/ Plugin] ||Linux
|--
|[http://pidgin.im/ Pidgin]||Ja||Nein||Ja||Ja / Ja||Nein / [http://www.cypherpunks.ca/otr/ Plugin] ||Linux, Windows
|-- style="background: #efefef"
|[http://psi-im.org/ PSI]||Nein||Ja||Ja||Nein / Ja||Ja / Nein||Linux, Windows, Mac OS X
|}

E-Mail/Autoresponder

2008-09-02T21:36:25Z

Ruderich: fix my typo

[[Category:E-Mail]]
Manchmal ist es praktisch, wenn auf jede hereinkommende E-Mail an eine bestimmte Adresse eine automatische Antwort gesendet wird.

Zum Beispiel wenn eine Adresse nicht mehr benutzt wird oder wenn man für eine planbare Zeitspanne nicht erreichbar ist (Abwesenheitsnachricht).

Man sollte allerdings aufpassen, dass keine automatischen Antworten an [[E-Mail/Mailinglisten|Mailinglisten]] geschickt werden, da dies bei den meisten Listenmitgliedern nicht sonderlich gut ankommt, wenn sie ständig Abwesenheitsnachrichten bekommen.

==mailbot==

Für diesen Zweck gibt es das Programm '''mailbot'''. Um dieses zu benutzen, muss man lediglich ein Verzeichnis anlegen, das später die Daten (wie z.B. die Nachricht) enthalten soll. In unserem Beispiel ist das das Verzeichnis ''/home/bernd/autoresponses/bernd@schokokeks.org''. Dort muss eine Text-Datei (In diesem Beispiel '''message.txt''') erstellt werden, die den Text der Antwortmail enthält, die gesendet werden soll. Die Kopfdaten wie Empfänger und Betreff setzt Mailbot selbst auf passende Werte. Eine Nachricht kann etwa so aussehen:

Diese Adresse wird nicht benutzt, bitte nutzen Sie stattdessen
die Adresse bernd@bwurst.org.

Gruß,
Bernd

Um Komplikationen aus dem Weg zu gehen, kann man auf Sonderzeichen und Umlaute verzeichten, dann wird die Nachricht bei jedem Empfänger immer korrekt angezeigt. Sollte man Sonderzeichen verwenden, dann muss man wissen, in welcher Kodierung die Textdatei geschrieben wurde. Entstand diese Datei auf dem Server selbst, so handelt es sich vermutlich um UTF-8-Kodierung. Die Kodierung lässt sich z.B. mit dem Befehl '''file -i''' herausfinden:
$ '''file -i message.txt'''
message.txt: text/plain; charset='''utf-8'''

So, jetzt ist der Autoresponder bereits zum Teil konfiguriert, er muss nun nurnoch in einer ''.courier''-Datei aufgerufen werden. Dabei muss das Programm mit einigen wichtigen Parametern aufgerufen werden. So z.B. in der Datei ''~/.courier'':
|/usr/bin/mailbot -A "From: Bernd Wurst <bernd@schokokeks.org>" -c utf-8 -d /home/bernd/autoresponses/bernd@schokokeks.org/bouncedb -t /home/bernd/autoresponses/bernd@schokokeks.org/message.txt
Die '''"''' sind nötig, um Leerzeichen un der Absenderadresse benutzen zu können.

Die verwendeten Parameter im Einzelnen:

'''-A "From: ..."'''
:Der Parameter '''-A''' erlaubt das Setzen beliebiger Kopfzeilen einer Nachricht. In diesem Fall wird der Absender korrekt gesetzt.

'''-c utf-8'''
:Dieser Parameter kontrolliert den Zeichensatz. Er kann weggelassen werden, wenn sich in der oben erstellten Datei keine Sonderzeichen oder Umlaute befinden, dann ist ''us-ascii'' die Voreinstellung.

'''-d ...'''
:Hier wird der Pfad zu einer Datenbank erwartet, in der mailbot verschiedene Daten speichert, z.B. an welche Adresse in den letzten Stunden bereits eine Nachricht versendet wurde. Diese Datei wird ggf. erstellt, lediglich das Verzeichnis muss existieren.

'''-t .../message.txt'''
:Hier wird die Textdatei mit dem Nachrichtentext erwartet.

Das Programm unterstützt noch weitere Optionen, zum Beispiel kann kontrolliert werden, wie viele Antworten maximal in einem bestimmten Intervall an eine Adresse besendet werden.
Die Hilfeseite ('''man mailbot''') erklärt weitere Parameter, hier eine Auswahl:

'''-D ''«Tage»'''''
:Zeitintervall in Tagen (Standard: 1 Tag) bis weitere Antworten an die selbe Adresse verschickt werden.

'''-s ''«Betreff»'''''
:Setzt den Betreff auf den genannten Wert (im Zweifel Anführungszeichen benutzen!) anstatt den Original-Betreff zu benutzen.

==Löschen oder nicht löschen==

Wenn man die Konfiguration so nutzt wie hier beschrieben, werden eingehende E-Mails nur beantwortet und dann gelöscht. Selbstverständlich kann man aber auch im Sinne einer Abwesenheitsbenachrichtigung die automatische Antwort nur parallel zu schalten und die E-Mail trotzdem normal zuzustellen. Dazu muss man einfach die weiteren Zeilen der ''.courier''-Datei wie üblich belassen.

Mit dieser Methode kann man natürlich auch einen Viren- oder Spamfilter vor die automatische Antwort setzen, sodass nur "saubere" E-Mails beantwortet werden.

E-Mail/Autoresponder

2008-09-02T21:31:11Z

Ruderich: kleine warnung für mailinglisten hinzugefügt, typo

[[Category:E-Mail]]

Manchmal ist es praktisch, wenn auf jede hereinkommende E-Mail an eine bestimmte Adresse eine automatische Antwort gesendet wird.

Zum Beispiel wenn eine Adresse nicht mehr benutzt wird oder wenn man für eine planbare Zeitspanne nicht erreichbar ist (Abwesenheitsnachricht).

Man sollte allerdings aufpassen, dass keine automatischen Antworten an [[E-Mail/Mailinglisten|Mailinglisten]] geschickt werden, da dies bei den meisten Listenmitgliedern nicht sonderlich gut ankommt, wenn sie ständig Abwesenheitsnachrichten bekommen.

==mailbot==

Für diesen Zweck gibt es das Programm '''mailbot'''. Um dieses zu benutzen, muss man lediglich ein Verzeichnis anlegen, das später die Daten (wie z.B. die Nachricht) enthalten soll. In unserem Beispiel ist das das Verzeichnis ''/home/bernd/autoresponses/bernd@schokokeks.org''. Dort muss eine Text-Datei (In diesem Beispiel '''message.txt''') erstellt werden, die den Text der Antwortmail enthält, die gesendet werden soll. Die Kopfdaten wie Empfänger und Betreff setzt Mailbot selbst auf passende Werte. Eine Nachricht kann etwa so aussehen:

Diese Adresse wird nicht benutzt, bitte nutzen Sie stattdessen
die Adresse bernd@bwurst.org.

Gruß,
Bernd

Um Komplikationen aus dem Weg zu gehen, kann man auf Sonderzeichen und Umlaute verzeichten, dann wird die Nachricht bei jedem Empfänger immer korrekt angezeigt. Sollte man Sonderzeichen verwenden, dann muss man wissen, in welcher Kodierung die Textdatei geschrieben wurde. Entstand diese Datei auf dem Server selbst, so handelt es sich vermutlich um UTF-8-Kodierung. Die Kodierung lässt sich z.B. mit dem Befehl '''file -i''' herausfinden:
$ '''file -i message.txt'''
message.txt: text/plain; charset='''utf-8'''

So, jetzt ist der Autoresponder bereits zum Teil konfiguriert, er muss nun nurnoch in einer ''.courier''-Datei aufgerufen werden. Dabei muss das Programm mit einigen wichtigen Parametern aufgerufen werden. So z.B. in der Datei ''~/.courier'':
|/usr/bin/mailbot -A "From: Bernd Wurst <bernd@schokokeks.org>" -c utf-8 -d /home/bernd/autoresponses/bernd@schokokeks.org/bouncedb -t /home/bernd/autoresponses/bernd@schokokeks.org/message.txt
Die '''"''' sind nötig, um Leerzeichen un der Absenderadresse benutzen zu können.

Die verwendeten Parameter im Einzelnen:

'''-A "From: ..."'''
:Der Parameter '''-A''' erlaubt das Setzen beliebiger Kopfzeilen einer Nachricht. In diesem Fall wird der Absender korrekt gesetzt.

'''-c utf-8'''
:Dieser Parameter kontrolliert den Zeichensatz. Er kann weggelassen werden, wenn sich in der oben erstellten Datei keine Sonderzeichen oder Umlaute befinden, dann ist ''us-ascii'' die Voreinstellung.

'''-d ...'''
:Hier wird der Pfad zu einer Datenbank erwartet, in der mailbot verschiedene Daten speichert, z.B. an welche Adresse in den letzten Stunden bereits eine Nachricht versendet wurde. Diese Datei wird ggf. erstellt, lediglich das Verzeichnis muss existieren.

'''-t .../message.txt'''
:Hier wird die Textdatei mit dem Nachrichtentext erwartet.

Das Programm unterstützt noch weitere Optionen, zum Beispiel kann kontrolliert werden, wie viele Antworten maximal in einem bestimmten Intervall an eine Adresse besendet werden.
Die Hilfeseite ('''man mailbot''') erklärt weitere Parameter, hier eine Auswahl:

'''-D ''«Tage»'''''
:Zeitintervall in Tagen (Standard: 1 Tag) bis weitere Antworten an die selbe Adresse verschickt werden.

'''-s ''«Betreff»'''''
:Setzt den Betreff auf den genannten Wert (im Zweifel Anführungszeichen benutzen!) anstatt den Original-Betreff zu benutzen.

==Löschen oder nicht löschen==

Wenn man die Konfiguration so nutzt wie hier beschrieben, werden eingehende E-Mails nur beantwortet und dann gelöscht. Selbstverständlich kann man aber auch im Sinne einer Abwesenheitsbenachrichtigung die automatische Antwort nur parallel zu schalten und die E-Mail trotzdem normal zuzustellen. Dazu muss man einfach die weiteren Zeilen der ''.courier''-Datei wie üblich belassen.

Mit dieser Methode kann man natürlich auch einen Viren- oder Spamfilter vor die automatische Antwort setzen, sodass nur "saubere" E-Mails beantwortet werden.

AT

2008-09-02T21:20:06Z

Ruderich: typo

AT-Jobs dienen dazu, Befehle an einem bestimmten Datum auszuführen. Dies kann man etwa dazu nutzen, sich an etwas erinnern zu lassen.

== Beispiel ==

Wir starten <tt>at</tt> mit dem Auftrag, uns am 12. Dezember eine E-Mail zu schicken.
at dez 12

Anschließend können wir beliebige Befehle eingeben, die an diesem Datum (Uhrzeit wird standardmäßig auf die aktuelle gesetzt) ausgeführt werden sollen:

echo 'Herrn xy anrufen' | mail -s 'Nicht vergessen' info@meinedomain.de

Die Eingabe beenden wir mit <tt>CTRL-D</tt>.

Mercurial

2008-09-02T00:39:09Z

Ruderich: Die Seite wurde neu angelegt: [http://selenic.com/mercurial/ Mercurial] ist ein Versionierungsprogramm ähnlich wie Git. Es ist standardmäßig installiert und kann über <tt>hg</tt> aufgerufen ...

[http://selenic.com/mercurial/ Mercurial] ist ein Versionierungsprogramm ähnlich wie [[Git]]. Es ist standardmäßig installiert und kann über <tt>hg</tt> aufgerufen werden. Mehr Information zu Mercurial findet man im Mercurial Wiki: [http://www.selenic.com/mercurial/wiki/index.cgi/QuickStart QuickStart] (englisch).

= Veröffentlichung auf einer Homepage =

Ein Repository auf dem Server kann über ein CGI-Skript veröffentlicht werden, so das jeder Besucher mit seinem Browser das Repository anzeigen kann, die Logs lesen kann, das Repository clonen kann, etc.

Folgend nun eine kurze Installationsanleitung für schokokeks.org, für genauere Informationen steht das Mercurial Wiki zur Verfügung: [http://www.selenic.com/mercurial/wiki/index.cgi/CGIinstall CGIinstall] (englisch).

Die folgende Verzeichnisstruktur wird angenommen, sie kann natürlich angepasst werden. Alle folgenden Befehle finden, soweit nicht anders angegeben, auf dem schokokeks.org Server statt.

$HOME/htdocs/ <- über Browser zugänglich
$HOME/htdocs/hg/ <- hier wird Mercurial zugänglich sein

$HOME/hg/ <- Mercurial Repositories werden hier gespeichert
$HOME/hg/repository/ <- Test Repository

Zuerst muss das Repository erstellt werden.

% cd $HOME/hg/repository
% hg init

Ein schon vorhandenes Repository kann natürlich einfach nach <tt>$HOME/hg/repository</tt> kopiert werden.

Es sollte eine hgrc Datei in <tt>$HOME/hg/repository/.hg/hgrc</tt> mit folgendem Inhalt erstellt werden (die Daten natürlich anpassen):

[web]
description = Eine kurze Beschreibung des Repository.
author = Ihr Name <ihr-name@example.org>

Nun muss das CGI-Skript herunter geladen werden. Die Datei ist auf dem offiziellen Mercurial Server zugänglich: http://selenic.com/hg/index.cgi/raw-file/tip/hgweb.cgi Sie muss unter <tt>$HOME/htdocs/hg/index.cgi</tt> gespeichert werden und die folgenden Änderungen müssen an ihr vorgenommen werden:

In der vorletzten Zeile muss <tt>/path/to/repo</tt> durch den Pfad zum Repository ersetzt werden. Achtung, hier kann nicht <tt>$HOME/hg/repository</tt> eingetragen werden, es muss der komplette absolute Pfad ohne Variablen sein, z. B. <tt>/home/ihr-benutzername/hg/repository</tt>. Ebenfalls in der vorletzten Zeile muss "repository name" durch den gewünschten Repositorynamen ersetzt werden, dieser wird dann im Browser angezeigt. Die letzten beiden Zeilen von <tt>index.cgi</tt> könnten zum Beispiel so aussehen:

application = hgweb("/home/ihr-benutzername/hg/repository", "Test Repository")
wsgicgi.launch(application)

Ebenfalls muss eine <tt>.htaccess</tt> Datei in <tt>$HOME/htdocs/hg/.htaccess</tt> mit dem folgenden Inhalt erstellt werden, damit das CGI-Skript ausgeführt wird.

# Anfragen an dieses Verzeichnis werden auf index.cgi umgeleitet, genauso
# wie sie normalerweise auf index.html oder index.php umgeleitet werden.
DirectoryIndex index.cgi

# CGI Skripte erlauben.
Options FollowSymlinks ExecCGI

Die fertige Dateistruktur sieht nun so aus (<tt>...</tt> sind Dateien des Repository):

$HOME/htdocs/
$HOME/htdocs/hg/
$HOME/htdocs/hg/.htaccess
$HOME/htdocs/hg/index.cgi
$HOME/hg/
$HOME/hg/repository/
$HOME/hg/repository/.hg
$HOME/hg/repository/.hg/hgrc
$HOME/hg/repository/...

Nun kann das Repository über http://ihre-domain/hg/ betrachtet werden. Ein Klonen ist auch direkt möglich (lokal auf dem Computer, nicht auf dem Server):

% hg clone http://ihre-domain/hg/ repository

Wenn auf dem Server neue Änderungen liegen, kann das lokale Repository (mit clone erstellt) mit "pull" aktualisiert werden (ebenfalls nicht auf dem Server).

% cd repository
% hg pull

= Zugriff auf das Repository mit SSH =

Mercurial ermöglicht es Änderungen über SSH lokal von einem Computer aus an das Repository zu übertragen ("pushen"). Dazu muss SSH korrekt konfiguriert sein und das anmelden bei schokekeks.org muss funktionieren; mehr Informationen dazu unter [[Key-Login (OpenSSH)]].

Im folgenden wird die gleiche Verzeichnisstruktur wie oben angenommen. Für weitere Informationen dient ebenfalls wieder das Mercurial Wiki: [http://www.selenic.com/mercurial/wiki/index.cgi/SharedSSH SharedSSH] (englisch).

Die folgenden Befehle finden alle lokal auf dem Computer statt, nicht auf dem Server.

Zuerst muss das Repository geklont werden:

% hg clone ssh://ihr-benutzername@schokokeks.org/hg/repository/

Nun können Änderungen am lokalen Repository die auf den Server übertragen werden sollen, einfach mit "push" hochgeladen werden.

% cd repository
% hg push

Falls das Repository nicht direkt mit clone vom Server erstellt wurde, muss die URL angegeben werden:

% hg push ssh://ihr-benutzername@schokokeks.org/hg/repository/

Nun sind die Daten aktualisiert und können unter http://ihre-domain/hg/ betrachtet und von anderen geklont werden.

Falls das dauerhafte angeben der URL zu mühsam ist, oder der Fehler "ssl required" beim "pushen" auftritt, muss die hgrc Datei in <tt>repository/.hg/hgrc</tt> (lokal auf dem Computer, nicht auf dem Server)
bearbeitet werden. Dort einfach die folgenden Zeilen bearbeiten (natürlich anpassen):

[paths]
default = ssh://ihr-benutzername@schokokeks.org/hg/repository/

Dann wird automatisch zu dieser Adresse "gepusht".