RackBlogger

Eben im Telefonat mit einem Kunden:

Kunde: »Kannst Du meinem Webdesigner dann einen Zugang legen?«

Wir haben uns darauf geeinigt, dass ich dem Webdesigner nur einen FTP-Zugang einrichte, statt ihm einen Zugang zu legen.

Ein Kunde betreibt auf einem Shared-Webhosting-Paket bei uns eine auf Typo3 basierende Website, welche in den letzten Tagen massive Zugriffszahlen verzeichnen konnte. Schön für den Kunden, schlecht aber für den Webserver: die dadurch entstandene Last war wirklich erheblich. Schließlich wird bei uns aus Sicherheitsgründen PHP als CGI ausgeführt, d.h. bei jedem Seitenzugriff wird der komplette PHP- und Typo3-Kram geladen, geparsed und ausgeführt.
Da nicht abzusehen ist wann oder ob die Zugriffszahlen wieder sinken werden, und ein Umzug auf einen anderen Hostingserver das Problem langfristig auch nicht beseitigen würde, wurde der Kunde gestern Abend kurzfristig auf FastCGI umgestellt, und gleichzeitig noch eAccelerator aktiviert.
Mit dem Apache-Modul mod_fastcgi bleiben PHP-Prozesse nach Ablauf des Scripts im Speicher vorhanden; bei erneutem Aufruf entfällt somit das Starten der PHP-Laufzeitumgebung, und dank eAccelerator auch das Parsen und Compilieren der Scripte. Der Geschwindigkeitsvorteil ist erheblich:

Wir werden allerdings weiterhin FastCGI nur für “spezielle” Kunden aktivieren; schließlich lohnt es sich nicht für nur minimal besuchte Websites eigene dedizierte PHP-Prozesse im Hintergrund laufen zu lassen.

Im Rahmen dieser Aktion sind aber gleich noch ein paar andere Ideen für die Integration in unser neues Verwaltungstool entstanden.

Für einen Kunden haben wir auf einem Shared-Hosting-Server eine SSH-Anmeldung per Private/Public Key einrichten wollen. Im Log (/var/log/auth.log) erschien jedoch beim Anmeldeversuch nur die folgende Fehlermeldung:

Authentication refused: bad ownership or modes for directory /[…]

Der Grund dafür: die Webspacebenutzer-Verzeichnisse gehören bei uns nicht den Benutzern selbst, sondern einem speziellen Systembenutzer. Über die Verzeichnisrechte ist so sichergestellt, dass der Apache-Prozess lesend in alle Verzeichnisse schauen darf, während Benutzer nicht in die jeweils fremden Verzeichnisse blicken können.

Die Lösung in diesem Fall: in /etc/ssh/sshd_config die Option “StrictModes” auf “no” setzen. Damit wird der SSH-Daemon angewiesen, die Verzeichnisrechte nicht zu prüfen (konkret: er beschwert sich nicht mehr, wenn jemand anderes als der Benutzer selbst Schreibrechte auf sein eigenes Home-Verzeichnis hat).

Das setzt natürlich voraus, dass das Rechtesystem auf dem Server entsprechend ausgeklügelt ist, und man somit keine anderen Sicherheitslücken öffnet.

Außerdem haben wir bei SharedHosting-Servern die Option “AllowTcpForwarding” auf “No” gesetzt; schließlich soll niemand über diese Server irgendwelche TCP-Tunnel aufbauen (egal in welche Richtung).

Nach der Spam-Pause vor knapp über einer Woche gab es am Wochenende wieder ein unglaubliches Spam-Tief:

In einem Artikel bei Heise gibt’s auch ein paar Informationen dazu. Angeblich sollen die Botnetze am Wochenende für massive DDoS-Attacken umfunktioniert worden sein.

[IRONIE]Ehrlich gesagt wäre mir Spam lieber als eine DDoS-Attacke… [/IRONIE]

Sowohl für das Büro-Intranet als auch für das Management-Netz im Rechenzentrum haben wir VPN-Zugänge eingerichtet. Diese sind mittels Firewall-Regeln relativ streng gefiltert; Zugriffe werden nur auf einige festgelegte Dienste erlaubt, u.a. SSH.
Theoretisch könnte man aber über SSH beliebige TCP-Verbindungen durchtunneln, ohne dass die Firewall davon etwas mitbekommt. Das kann zwar seinen Vorteil haben (z.B. wenn man vergessen hat einen bestimmten Port in der Firewall freizugeben, oder den SSH-Server als “Sprungbrett” in andere Netze nutzen will), allerdings widerspricht das nunmal der Sicherheits-Policy.

Mit wenigen Befehlen kann das Tunneln von TCP-Verbindungen aber deaktiviert werden: ein einfaches

AllowTcpForwarding No

in der sshd_config genügt bereits. Alternativ kann man mit den Befehlen AllowTcpForwardingForUsers bzw. AllowTcpForwardingForGroups die Weiterleitung nur für bestimmte Benutzer/Gruppen erlauben. Letzteres setzen wir beispielsweise auf allen Hosting-Servern ein; da sind SSH-Tunnel nur in besonderen Fällen für administrative Zwecke notwendig und daher auch nicht pauschal erlaubt.

Ein Kunde hat eine relativ exotische Domain im Ausland registriert und will diese auf den Webspace auf einem unserer Server weiterleiten lassen. Wir haben hier alles vorbereitet und dem Kunden mitgeteilt, auf welche IP-Adresse seine Domain zukünftig verweisen soll.

Der Provider dieser Domain scheint das jedoch nicht ganz auf die Reihe zu bringen, und versucht uns regelmäßig dafür verantwortlich zu machen. Angeblich sei die Domain auf dem entsprechenden Webserver nicht konfiguriert, man erhalte nur eine allgemeine Fehlerseite.

Das das nicht stimmt, lässt sich aber mit einer kurzen Telnet-Sitzung zeigen:

kk@host:~$ telnet neue_IP_Adresse 80
Trying neue_IP_Adresse…
Connected to neue_IP_Adresse.
Escape character is ‘^]’.
GET / HTTP/1.0
Host: domain.tld

HTTP/1.1 200 OK
Date: Mon, 09 Jun 2008 01:23:45 GMT
Server: Apache
Connection: close
Content-Type: text/html

[… HTML-Inhalt der Kundensite… ]

Connection closed by foreign host.
kk@host:~$_

Nicht jeder der Domains registrieren kann versteht auch was vom Hosting…

Ein größerer Kunde hat kürzlich intern seine Arbeitsplatzrechner auf Outlook 2003 umgestellt. Nun gab es aber das Problem, dass in IMAP-Accounts gelöschte Nachrichten unmittelbar gelöscht und nicht in den Ordner “Trash” (bzw. “Gelöschte Objekte”) verschoben wurden.

Nach ein bisschen Recherche bei uns stand fest, dass das Problem (leider) in Outlook liegt. Outlook 2003 unterstützt das Verschieben gelöschter Nachrichten einfach nicht.

Somit habe ich wieder einen Grund mehr, auch weiterhin guten Gewissens auf Outlook zu verzichten.

Mit etwas Spannung ist nun die Umstellung des Mailservers abgeschlossen worden. Die Downtime für den Umbau der RAID-Controller, Installation des Bootloaders und allgemeinem Systemcheck hielt sich in Grenzen (nur knapp eine Stunde - hat alles reibungslos geklappt).

Nagios hat darauf geachtet, daß alle Dienste korrekt arbeiten, und ein paar Blicke in die Logfiles etwa eine Stunde nach dem Umbau haben nicht die geringsten Probleme gezeigt. So mag ich das.

Bei dieser Gelegenheit wurde übrigens auch das Webmail-System ausgetauscht. Das bisherige IMP wurde durch RoundCube abgelöst - aus mehreren Gründen:

• die bisherige IMP/Horde-Installation lief unter PHP4. Da auf dem neuen Server nur PHP5 laufen soll, hätte IMP auf die neueste Version aktualisiert werden müssen. Wer schonmal das ganze Zeug installiert hat (Horde, IMP + Turba) der weiß, dass das nicht gerade wenig Arbeit ist.
• die Programmoberfläche von IMP ist inzwischen doch ein wenig antiquiert. Wir haben damals einige Arbeit in die Anpassung der Oberfläche gesteckt, und hätten diese Patches nun manuell wieder auf der neuesten IMP-Version einspielen müssen

RoundCube ist kompakt, besteht aus klar strukturiertem Code, hat eine moderne Oberfläche und lässt sich sehr intuitiv nutzen. Der Funktionsumfang ist sicher nicht ganz so groß wie bei IMP, lässt sich aber bequem um eigene Bedürfnisse erweitern.
So haben wir beispielsweise die Kontaktdaten mit einem kleinen Perlscript von IMP nach RoundCube importiert, und vorher RoundCube noch um die zusätzlichen Datenfelder für Telefonnummern, Anschriften und Notizen erweitert (wir hatten mehrere tausend Kontaktdaten im alten Webmail-System; die entsprechenden Kunden wären sicher “not amused” wenn nur noch Name und Mailadresse übrig geblieben wären). Außerdem wurde die Oberfläche ein wenig getuned, um (ähnlich wie bei IMP) ungelesene oder beantwortete Nachrichten in der Ãœbersicht mit einer entsprechenden Hintergrundfarbe zu markieren. Zuletzt musste noch das Abonnement von IMAP-Ordnern deaktiviert (!) werden, weil die Kunden diese Funktion in IMP bisher nicht genutzt hatten und sonst erst manuell alle vorhandenen Order hätten aktivieren müssen (… kam auf Anregung eines Kunden, der bei einem Testlauf völlig schockiert anrief und glaubte, dass alle seine Mails gelöscht seien…).

Viel Arbeit also, die sich aber hoffentlich gelohnt hat.

Das nächste Projekt ist auch schon in Arbeit, steht in den nächsten vier Wochen an, und hat mehr mit Papierkram als mit Servern zu tun. Ich werde berichten…