Neuer Server

Nach langer, langer Zeit war es mal wieder Zeit für eine Grundsanierung des Rootservers. Nicht das es für Centos keie Sicherheitsupdates gab – aber am Ende aktualisiert man ja nicht das Basissystem und die Verwaltungssoftware über Majorgrenzen hinweg.

Daher nun beim Hoster das selbe Produkt bestellt – aber dafür mit aktueller Hardware 😀

Dazu ein paar Reminder an misch selber zu Owncloud, DNS und IPV6
Weiterlesen

ProFTPd mit TLS

Wie in Artikel Rootserver-Serie I: ProFTPd mit TLS betreiben (FTPS) beschrieben ist das Konfigurieren von TLS alles andere als trivial.

Wenn noch eine Firewall hinzukommt wird es dann perfekt:
FTP-Clients bekommen keine Verbindung im Passivmodus (was wohl jeder Verwendet) da der Daten-Port auf dem Server nicht erreichbar ist.
Üblicherweise sollte das iptables-Modul die entsprechenden Ports bei einer FTP-Verbindung öffnen.
Bei einer FTPS-Verbindung kann das Modul den (verschlüsselten) Datenstrom aber nicht mehr lesen und auch entsprechend keine Ports mehr öffnen.

Abhilfe schafft das Vergeben eines fixen Portbereiches, den man statisch auch in der Firewall freischaltet:

Wichtig ist hierbei, dies in der Global-Konfiguration einzutragen. Nach Doku soll es zwar auch im Server- und VirutalHost-Teil gehen, das hatte bei mir aber keien Wirkung gezeigt:
<global>
PassivePorts 49152 49162
AllowOverwrite yes
<limit ALL SITE_CHMOD>
AllowAll
</limit>
</global>

Diese 10 Ports (und damit 10 parallele Client wie ich glaube) müssen noch in der Firewall als TCP-Ports freigegeben!

Rootserver-Serie VIII: Logwatch optimieren

Um der Spamflut Herr zu werden setze ich auf dem Rootserver DNSBLs ein.

An und für sich eine schöne Sache. Leider ist die normale Logwatch-Installation von CentOS 5.1 nicht fähig und in der Lage, die ganzen NOQUEUE-Meldungen zu verarbeiten und hängt sie so immer an die Logwatch-Mail dran.
Nicht gerade hübsch. Weiterlesen

Rootserver-Serie VII: MySQL Master/Slave mit SSH-Tunnel

Aus Backup-, Sicherheits- und Performancegründen soll ein MySQL-Server-Verbund im Master/Slave-Betrieb aufgebaut werden.

Da der Master auf dem Rootserver läuft und der Slave auf einem LAN-Server an einem Dial-In-Zugang ist dabei etwas mehr Aufwand zu betreiben.
Primär soll der Master nicht weltweit über seine öffentlichen Geräte erreichbar sein. Ein komplette VPN-Lösung (OpenVPN o.Ä.) ist hingegen viel zu überdimensioniert. Die Lösung des Problems ist ein kleiner SSH-Tunnel, der mit PPPd zum Mini-VPN mutiert.
Wie üblich beziehen sich die Angaben auf CentOS 5.1, sollten aber mit anderen Distributionen fast gleich ablaufen. Weiterlesen

Rootserver-Serie VI: Die eigene CA für Web, Mail und FTP

In heutigen Zeiten (ich erspare mir nähere Ausführungen….) ist es praktisch unerlässlich (auch) gesicherte Kommunikation zu betreiben.

Sei es der Zugriff auf den Webmail per Browser, das verschicken von eMails oder das nutzen von FTP-Servern. Überall werden die Daten prinzipiell unverschlüsselt gesendet.
Glücklicherweise bieten heutzutage aber alle Dienste auch TLS für ihre Protokolle an. Selbiges muss man nur noch nutzen. Das Hauptproblem neben den unterschiedlichen Zertifikatsformen ist, dass SSL-Zertifikate immer viel Geld kosten wenn sie ordentlich unterschrieben sein sollen. Weiterlesen

Rootserver-Serie V: Alte Postfächer mit fetchmail abholen

Zwar hab ich nur eine Haupt-eMailadresse, aber an die alten Adressen von GMX&Co kommen hin und wieder auch noch wichtige eMail ans.
Bisher wurden diese Postfächer auf meinem Heimserver alle abgeholt und aufbereitet. Dies ist aber ja jetzt nicht mehr möglich da alle eMails auf dem Rootserver verabeitet werden sollen.

Dafür zum Einsatz kommen soll fetchmail. CentOS-like lässt es sich installieren per yumund CentOS-like gibt es nicht mal ein Startskript 😉 . Dies soll uns aber nicht stören: Weiterlesen

Rootserver-Serie IV: Spambekämpfung mit Postfix

Bei der Spambekämpfung verfolge ich zwei Grundsätze:

  1. Keine False-Positives
  2. Rückmeldungen geben

Lieber eine Spammail bekommen und per Hand löschen als eine (wichtige) Email ablehnen. Daher haben sich folgende Einstellungen in /etc/postfix/main.cf bei mir durchgesetzt: Weiterlesen

Rootserver-Serie III: bind einschränken

Man kann sicherlich darüber streiten, aber ich denke nicht, dass autorative Nameserver für Gott und die Welt auch andere Domains auflösen sollen.

Daher soll bind so eingerichtet werden, dass er zwar für den Server selber Domains rekursiv auflöst aber sonst nur Anfragen über autorative Zonen beantworten soll.

Zusätzlich soll nicht jeder alle Zonen transferieren können. Ich erlaube nur dem sekundären Nameserver den Zonentransfer.

Um dies zu erreichn wird zuerst das ISPconfig Konfigurationstemplate unter /root/ispconfig/isp/conf/customized_templates/named.conf.master angepasst: Weiterlesen