Rootserver-Serie VIII: Logwatch optimieren

Um der Spamflut Herr zu werden setze ich auf dem Rootserver DNSBLs ein.

An und für sich eine schöne Sache. Leider ist die normale Logwatch-Installation von CentOS 5.1 nicht fähig und in der Lage, die ganzen NOQUEUE-Meldungen zu verarbeiten und hängt sie so immer an die Logwatch-Mail dran.
Nicht gerade hübsch. Weiterlesen

Rootserver-Serie VII: MySQL Master/Slave mit SSH-Tunnel

Aus Backup-, Sicherheits- und Performancegründen soll ein MySQL-Server-Verbund im Master/Slave-Betrieb aufgebaut werden.

Da der Master auf dem Rootserver läuft und der Slave auf einem LAN-Server an einem Dial-In-Zugang ist dabei etwas mehr Aufwand zu betreiben.
Primär soll der Master nicht weltweit über seine öffentlichen Geräte erreichbar sein. Ein komplette VPN-Lösung (OpenVPN o.Ä.) ist hingegen viel zu überdimensioniert. Die Lösung des Problems ist ein kleiner SSH-Tunnel, der mit PPPd zum Mini-VPN mutiert.
Wie üblich beziehen sich die Angaben auf CentOS 5.1, sollten aber mit anderen Distributionen fast gleich ablaufen. Weiterlesen

Rootserver-Serie VI: Die eigene CA für Web, Mail und FTP

In heutigen Zeiten (ich erspare mir nähere Ausführungen….) ist es praktisch unerlässlich (auch) gesicherte Kommunikation zu betreiben.

Sei es der Zugriff auf den Webmail per Browser, das verschicken von eMails oder das nutzen von FTP-Servern. Überall werden die Daten prinzipiell unverschlüsselt gesendet.
Glücklicherweise bieten heutzutage aber alle Dienste auch TLS für ihre Protokolle an. Selbiges muss man nur noch nutzen. Das Hauptproblem neben den unterschiedlichen Zertifikatsformen ist, dass SSL-Zertifikate immer viel Geld kosten wenn sie ordentlich unterschrieben sein sollen. Weiterlesen

Rootserver-Serie V: Alte Postfächer mit fetchmail abholen

Zwar hab ich nur eine Haupt-eMailadresse, aber an die alten Adressen von GMX&Co kommen hin und wieder auch noch wichtige eMail ans.
Bisher wurden diese Postfächer auf meinem Heimserver alle abgeholt und aufbereitet. Dies ist aber ja jetzt nicht mehr möglich da alle eMails auf dem Rootserver verabeitet werden sollen.

Dafür zum Einsatz kommen soll fetchmail. CentOS-like lässt es sich installieren per yumund CentOS-like gibt es nicht mal ein Startskript 😉 . Dies soll uns aber nicht stören: Weiterlesen

Rootserver-Serie IV: Spambekämpfung mit Postfix

Bei der Spambekämpfung verfolge ich zwei Grundsätze:

  1. Keine False-Positives
  2. Rückmeldungen geben

Lieber eine Spammail bekommen und per Hand löschen als eine (wichtige) Email ablehnen. Daher haben sich folgende Einstellungen in /etc/postfix/main.cf bei mir durchgesetzt: Weiterlesen

Rootserver-Serie III: bind einschränken

Man kann sicherlich darüber streiten, aber ich denke nicht, dass autorative Nameserver für Gott und die Welt auch andere Domains auflösen sollen.

Daher soll bind so eingerichtet werden, dass er zwar für den Server selber Domains rekursiv auflöst aber sonst nur Anfragen über autorative Zonen beantworten soll.

Zusätzlich soll nicht jeder alle Zonen transferieren können. Ich erlaube nur dem sekundären Nameserver den Zonentransfer.

Um dies zu erreichn wird zuerst das ISPconfig Konfigurationstemplate unter /root/ispconfig/isp/conf/customized_templates/named.conf.master angepasst: Weiterlesen

Rootserver-Serie II: Zonen replizieren

Um Domains selber zu verwalten bedarf es zwei dedizierten Nameservern bei der Registrierung.
bind verfügt zwar über einen Master/Slave-Modus, jedoch lässt sich so nur der Inhalt einer Zone replizieren. Um alle Zonen von einem Master-Nameserver auf einen Slave zu übertragen bedarf es zwei Bash-Scripts: Weiterlesen

Rootserver-Serie I: ProFTPd mit TLS betreiben (FTPS)

FTP ist bei weitem nicht sicher. Jegliche Daten (Daten wie Benutzername und Passwort) werden unverschlüsselt übertragen.
Da meist der FTP-Benutzer auch ein eMailbenutzer ist, ist es sicherlich für alle zuträglicher, wenn man FTP mittels TLS verschlüsselt. SFTP schließt sich selber aus, da chrooten nur mittels zusätzlicher Programme geht.

Um ProFTPd auf CentOS 5.1 mit ISPconfg für alle (auch virtuellen Hosts) zu aktivieren sind folgende Schritte nötig: Weiterlesen