Rootserver-Serie VII: MySQL Master/Slave mit SSH-Tunnel

Aus Backup-, Sicherheits- und Performancegründen soll ein MySQL-Server-Verbund im Master/Slave-Betrieb aufgebaut werden.

Da der Master auf dem Rootserver läuft und der Slave auf einem LAN-Server an einem Dial-In-Zugang ist dabei etwas mehr Aufwand zu betreiben.
Primär soll der Master nicht weltweit über seine öffentlichen Geräte erreichbar sein. Ein komplette VPN-Lösung (OpenVPN o.Ä.) ist hingegen viel zu überdimensioniert. Die Lösung des Problems ist ein kleiner SSH-Tunnel, der mit PPPd zum Mini-VPN mutiert.
Wie üblich beziehen sich die Angaben auf CentOS 5.1, sollten aber mit anderen Distributionen fast gleich ablaufen. Weiterlesen

Rootserver-Serie VI: Die eigene CA für Web, Mail und FTP

In heutigen Zeiten (ich erspare mir nähere Ausführungen….) ist es praktisch unerlässlich (auch) gesicherte Kommunikation zu betreiben.

Sei es der Zugriff auf den Webmail per Browser, das verschicken von eMails oder das nutzen von FTP-Servern. Überall werden die Daten prinzipiell unverschlüsselt gesendet.
Glücklicherweise bieten heutzutage aber alle Dienste auch TLS für ihre Protokolle an. Selbiges muss man nur noch nutzen. Das Hauptproblem neben den unterschiedlichen Zertifikatsformen ist, dass SSL-Zertifikate immer viel Geld kosten wenn sie ordentlich unterschrieben sein sollen. Weiterlesen

Rootserver-Serie V: Alte Postfächer mit fetchmail abholen

Zwar hab ich nur eine Haupt-eMailadresse, aber an die alten Adressen von GMX&Co kommen hin und wieder auch noch wichtige eMail ans.
Bisher wurden diese Postfächer auf meinem Heimserver alle abgeholt und aufbereitet. Dies ist aber ja jetzt nicht mehr möglich da alle eMails auf dem Rootserver verabeitet werden sollen.

Dafür zum Einsatz kommen soll fetchmail. CentOS-like lässt es sich installieren per yumund CentOS-like gibt es nicht mal ein Startskript 😉 . Dies soll uns aber nicht stören: Weiterlesen

Rootserver-Serie IV: Spambekämpfung mit Postfix

Bei der Spambekämpfung verfolge ich zwei Grundsätze:

  1. Keine False-Positives
  2. Rückmeldungen geben

Lieber eine Spammail bekommen und per Hand löschen als eine (wichtige) Email ablehnen. Daher haben sich folgende Einstellungen in /etc/postfix/main.cf bei mir durchgesetzt: Weiterlesen

Erasco: Currywurst-Kartoffeltopf [Rezension]

Irgendwann isst und kocht jeder mal ein Fertiggericht. Es ist nichts anderes da und die Dinger halten in den Dosen ja auch lange. Und dann kommt man doch auch gerne mal zu Sachen wie den allseits bekannten „Dosen-Ravioli„ zurück. Eine Alternative könnte da doch der Currywurst-Kartoffeltopf von Erasco darstellen…  so dachte ich jedenfalls, als ich die Dose im Supermarkt gesehen habe. Weiterlesen

Rootserver-Serie III: bind einschränken

Man kann sicherlich darüber streiten, aber ich denke nicht, dass autorative Nameserver für Gott und die Welt auch andere Domains auflösen sollen.

Daher soll bind so eingerichtet werden, dass er zwar für den Server selber Domains rekursiv auflöst aber sonst nur Anfragen über autorative Zonen beantworten soll.

Zusätzlich soll nicht jeder alle Zonen transferieren können. Ich erlaube nur dem sekundären Nameserver den Zonentransfer.

Um dies zu erreichn wird zuerst das ISPconfig Konfigurationstemplate unter /root/ispconfig/isp/conf/customized_templates/named.conf.master angepasst: Weiterlesen

Rootserver-Serie II: Zonen replizieren

Um Domains selber zu verwalten bedarf es zwei dedizierten Nameservern bei der Registrierung.
bind verfügt zwar über einen Master/Slave-Modus, jedoch lässt sich so nur der Inhalt einer Zone replizieren. Um alle Zonen von einem Master-Nameserver auf einen Slave zu übertragen bedarf es zwei Bash-Scripts: Weiterlesen

Rootserver-Serie I: ProFTPd mit TLS betreiben (FTPS)

FTP ist bei weitem nicht sicher. Jegliche Daten (Daten wie Benutzername und Passwort) werden unverschlüsselt übertragen.
Da meist der FTP-Benutzer auch ein eMailbenutzer ist, ist es sicherlich für alle zuträglicher, wenn man FTP mittels TLS verschlüsselt. SFTP schließt sich selber aus, da chrooten nur mittels zusätzlicher Programme geht.

Um ProFTPd auf CentOS 5.1 mit ISPconfg für alle (auch virtuellen Hosts) zu aktivieren sind folgende Schritte nötig: Weiterlesen