Neuer Server

Nach langer, langer Zeit war es mal wieder Zeit für eine Grundsanierung des Rootservers. Nicht das es für Centos keie Sicherheitsupdates gab – aber am Ende aktualisiert man ja nicht das Basissystem und die Verwaltungssoftware über Majorgrenzen hinweg.

Daher nun beim Hoster das selbe Produkt bestellt – aber dafür mit aktueller Hardware 😀

Dazu ein paar Reminder an misch selber zu Owncloud, DNS und IPV6
„Neuer Server“ weiterlesen

ProFTPd mit TLS

Wie in Artikel Rootserver-Serie I: ProFTPd mit TLS betreiben (FTPS) beschrieben ist das Konfigurieren von TLS alles andere als trivial.

Wenn noch eine Firewall hinzukommt wird es dann perfekt:
FTP-Clients bekommen keine Verbindung im Passivmodus (was wohl jeder Verwendet) da der Daten-Port auf dem Server nicht erreichbar ist.
Üblicherweise sollte das iptables-Modul die entsprechenden Ports bei einer FTP-Verbindung öffnen.
Bei einer FTPS-Verbindung kann das Modul den (verschlüsselten) Datenstrom aber nicht mehr lesen und auch entsprechend keine Ports mehr öffnen.

Abhilfe schafft das Vergeben eines fixen Portbereiches, den man statisch auch in der Firewall freischaltet:

Wichtig ist hierbei, dies in der Global-Konfiguration einzutragen. Nach Doku soll es zwar auch im Server- und VirutalHost-Teil gehen, das hatte bei mir aber keien Wirkung gezeigt:
<global>
PassivePorts 49152 49162
AllowOverwrite yes
<limit ALL SITE_CHMOD>
AllowAll
</limit>
</global>

Diese 10 Ports (und damit 10 parallele Client wie ich glaube) müssen noch in der Firewall als TCP-Ports freigegeben!

Rootserver-Serie VII: MySQL Master/Slave mit SSH-Tunnel

Aus Backup-, Sicherheits- und Performancegründen soll ein MySQL-Server-Verbund im Master/Slave-Betrieb aufgebaut werden.

Da der Master auf dem Rootserver läuft und der Slave auf einem LAN-Server an einem Dial-In-Zugang ist dabei etwas mehr Aufwand zu betreiben.
Primär soll der Master nicht weltweit über seine öffentlichen Geräte erreichbar sein. Ein komplette VPN-Lösung (OpenVPN o.Ä.) ist hingegen viel zu überdimensioniert. Die Lösung des Problems ist ein kleiner SSH-Tunnel, der mit PPPd zum Mini-VPN mutiert.
Wie üblich beziehen sich die Angaben auf CentOS 5.1, sollten aber mit anderen Distributionen fast gleich ablaufen. „Rootserver-Serie VII: MySQL Master/Slave mit SSH-Tunnel“ weiterlesen

Rootserver-Serie VI: Die eigene CA für Web, Mail und FTP

In heutigen Zeiten (ich erspare mir nähere Ausführungen….) ist es praktisch unerlässlich (auch) gesicherte Kommunikation zu betreiben.

Sei es der Zugriff auf den Webmail per Browser, das verschicken von eMails oder das nutzen von FTP-Servern. Überall werden die Daten prinzipiell unverschlüsselt gesendet.
Glücklicherweise bieten heutzutage aber alle Dienste auch TLS für ihre Protokolle an. Selbiges muss man nur noch nutzen. Das Hauptproblem neben den unterschiedlichen Zertifikatsformen ist, dass SSL-Zertifikate immer viel Geld kosten wenn sie ordentlich unterschrieben sein sollen. „Rootserver-Serie VI: Die eigene CA für Web, Mail und FTP“ weiterlesen

Rootserver-Serie V: Alte Postfächer mit fetchmail abholen

Zwar hab ich nur eine Haupt-eMailadresse, aber an die alten Adressen von GMX&Co kommen hin und wieder auch noch wichtige eMail ans.
Bisher wurden diese Postfächer auf meinem Heimserver alle abgeholt und aufbereitet. Dies ist aber ja jetzt nicht mehr möglich da alle eMails auf dem Rootserver verabeitet werden sollen.

Dafür zum Einsatz kommen soll fetchmail. CentOS-like lässt es sich installieren per yumund CentOS-like gibt es nicht mal ein Startskript 😉 . Dies soll uns aber nicht stören: „Rootserver-Serie V: Alte Postfächer mit fetchmail abholen“ weiterlesen

Rootserver-Serie III: bind einschränken

Man kann sicherlich darüber streiten, aber ich denke nicht, dass autorative Nameserver für Gott und die Welt auch andere Domains auflösen sollen.

Daher soll bind so eingerichtet werden, dass er zwar für den Server selber Domains rekursiv auflöst aber sonst nur Anfragen über autorative Zonen beantworten soll.

Zusätzlich soll nicht jeder alle Zonen transferieren können. Ich erlaube nur dem sekundären Nameserver den Zonentransfer.

Um dies zu erreichn wird zuerst das ISPconfig Konfigurationstemplate unter /root/ispconfig/isp/conf/customized_templates/named.conf.master angepasst: „Rootserver-Serie III: bind einschränken“ weiterlesen

Rootserver-Serie I: ProFTPd mit TLS betreiben (FTPS)

FTP ist bei weitem nicht sicher. Jegliche Daten (Daten wie Benutzername und Passwort) werden unverschlüsselt übertragen.
Da meist der FTP-Benutzer auch ein eMailbenutzer ist, ist es sicherlich für alle zuträglicher, wenn man FTP mittels TLS verschlüsselt. SFTP schließt sich selber aus, da chrooten nur mittels zusätzlicher Programme geht.

Um ProFTPd auf CentOS 5.1 mit ISPconfg für alle (auch virtuellen Hosts) zu aktivieren sind folgende Schritte nötig: „Rootserver-Serie I: ProFTPd mit TLS betreiben (FTPS)“ weiterlesen