Neueste Artikel

Einen eigenen Debian-Mirror mit apt-mirror erstellen

Sun, 11 Jul 2010 18:55:55 +0200

apt-mirror,mirror.list,apt,debian,ubuntu,deb,deb-amd64,debi386

Hier möchte ich zeigen, wie man in einigen wenigen Schritten einen eigenen Debian-Mirror aufbauen kann.

Das kann z.B. sinnvoll sein, um Traffic zu reduzieren und Updates von einem internen Server zu installieren, statt die Updates pro Server von einem externen FTP-Server herunter zu laden.

Das hierfür benötigte Paket installiert man mit:

apt-get install apt-mirror

Jetzt sollte man die Datei /etc/apt/mirror.list bearbeiten, ein Bsp.:

set base_path    /var/spool/apt-mirror
set mirror_path  $base_path/mirror
set skel_path      $base_path/skel
set var_path       $base_path/var
set cleanscript    $var_path/clean.sh
set defaultarch   i386
set nthreads       20
set _tilde             0

deb-amd64 http://ftp2.de.debian.org/debian lenny main contrib
deb-amd64 http://ftp2.de.debian.org/debian lenny main main/debian-installer

deb http://ftp2.de.debian.org/debian lenny main contrib
deb http://ftp2.de.debian.org/debian lenny main main/debian-installer

ftp2.de.debian.org ist natürlich nur ein Bsp., eine Liste der aktuellen Mirrors findet man hier.

Die Pfade entsprechen der Standard-Debian-Installation, können aber bei Bedarf entspr. geändert werden.

Standardmäßig werden sich die Dateien später in /var/spool/apt-mirror befinden.

Die Performance kann man noch mit der Direktive set nthreads beeinflussen. Hier legt man fest, wie viele gleichzeitige Download-Prozesse apt-mirror zum Synchronisieren des Repository's starten darf.

In meiner Beispieldatei habe ich i386 als Standard-Architektur eingetragen, d.h. deb und deb-i386 wären für die u.a. Zeilen gleichwertig. Für den Download der 64-Bit-Dateien leitet man die Zeilen mit deb-amd64 ein.

Nachdem alle Änderungen abgeschlossen sind, startet man den Download der Dateien mit apt-mirror.

Es empfiehlt sich, dafür einen Cron-Job anzulegen, der das Repository täglich aktualisiert und mit den neuesten Updates versorgt.

Damit das Repository auch erreichbar ist, ist der einfachste Weg, einen Webserver zu installieren:

apt-get install apache2 apache2-mpm-prefork

Jetzt legt man einen Link im Webserver-Root an, z.B.:

cd /var/www && ln -s /var/spool/apt-mirror/ftp2.de.debian.org/debian debian

Die Datei /etc/sites-available/default habe ich hier stark vereinfacht und muß ggf. an die eigenen Sicherheitsanforderungen angepasst werden:


        DocumentRoot /var/www/
        
                Options Indexes FollowSymLinks MultiViews
                AllowOverride none
        
        
                Options Indexes FollowSymLinks MultiViews
                AllowOverride none
        
    LogLevel warn
    ErrorLog /var/log/apache2/error.log
    CustomLog /var/log/apache2/access.log combined

Nach einen /etc/init.d/apache2 restart sollte der Zugriff auf das Repository über einen Browser funktionieren.

Je nach Anzahl der Server und der Performance des Mirror-Servers sollte man dann noch die Datei /etc/apache2/apache2.conf anpassen, indem man die Werte z.B. in der prefork-Sektion (StartServers, MinSpareServers, MaxSpareServers,MaxClients,...) entspr. erhöht. Diese sind standardmäßig sehr niedrig eingestellt. Damit die Änderungen wirksam werden, muß man den Webserver neu starten.

Jetzt muß man das Repository nur noch auf den Clients in der /etc/apt/sources.list eigetragen werden, z.B.:

deb http://192.168.1.254/debian lenny main contrib

Zu Anschauungszwecken habe ich hier eine IP genommen, es empfiehlt sich aber ein Hostname.

Nach dem Ändern der Datei sollte ein apt-get update die Liste der Updates von dem neuen Mirror herunterladen!

Server überwachen mit Munin (Debian Lenny)

Tue, 29 Jun 2010 11:18:29 +0200

munin,munin-node,debian,lenny,monitoring,graph

In diesem Tutorial möchte ich kurz zeigen, wie man Munin in wenigen Schritten installieren kann. Munin erstellt Graphiken zu zahlreichen Diensten, z.B. Apache, MySQL, Mail, etc. und kann einen Überblick über die aktuelle System-Last bieten.

Auf dem Server installieren wir den Munin Server und den Client:

apt-get install munin munin-node

Die Datei /etc/munin/munin-node.conf muß für den localhost nicht geändert werden.

allow ^127.0.0.1$

Installiert man munin-node später auf weiteren Servern, muß die Zeile

allow ^123.123.123.1$

am Ende der Datei hinzugefügt werden,wobei die IP-Adresse durch die des Servers ersetzt werden muß.

Punkte müssen mit einem Backslash maskiert werden.

D.h. möchte man später weitere Clients hinzufügen genügt ein einfaches

apt-get install munin-node

und das Hinzufügen oder o.a. allow-Zeile.

Jetzt muß noch der Server fertig eingerichtet werden. Die dafür zu editierende Datei /etc/munin/munin.conf sollte so aussehen:

dbdir   /var/lib/munin
htmldir /var/www/munin
logdir  /var/log/munin
rundir  /var/run/munin
tmpldir /etc/munin/templates

[Administration;munin]
    address 127.0.0.1
    use_node_name yes

[Administration;syslog]
    address 192.168.1.250
    use_node_name yes

[Webserver;server1]
    address 192.168.1.11
    use_node_name yes

Die Verzeichnisse sind ggf. anzupassen. In diesem Bsp. befinden sich die fertigen Munin-Graphiken später in /var/www/munin.

In diesem Beispiel habe ich 3 Hosts hinzugefügt.

In Munin ist es möglich, Hosts in Gruppen einzuteilen. Das erreicht man durch Voranstellen des Gruppennamens, gefolgt von einem Semikolon. Ich habe in diesem Beispiel die beiden Gruppen Administration und Webserver angelegt.

Das Gruppieren der Server ist nicht zwingend erforderlich,aber es kann je nach Anzahl der Server recht praktisch sein.

Jetzt sollte man noch sicher gehen, dass der web root - in diesem Fall /var/www/munin existiert und die richtigen Berechtigungen hat:

mkdir -p /var/www/munin
chown -R munin:munin /var/www/munin

Nach Änderungen an den Dateien sollte man den Dienst neu starten:

/etc/init.d/munin-node restart

Nach einigen Minuten sollte Munin die ersten Graphiken und die passenden HTML-Dateien generiert haben, die man z.B. über eine Apache-Installation aufrufen kann.

Ein paar Beispiele:

Dateien und Verzeichnisse überwachen mit incron

Mon, 29 Mar 2010 12:50:59 +0200

incron,datei,verzeichnis,änderung,überwachten,incrontab,allow,deny

Der Dienst incron funktioniert nach einem ähnlichen Prinzip wie der cron-Daemon, allerdings kann man incron dazu verwenden, Dateien oder Verzeichnisse zu überwachen und bei bestimmten Ereignissen eine Aktion auszuführen.

Ein praktisches Beispiel:

Man möchte, dass der Webserver automatisch neu gestartet wird, sobald sich eine der Konfigurationsdateien in /etc/apache2/ ändert.

Zunächst zur Installation:

Auf Debian oder Ubuntu erledigt man die Installation ganz einfach mit:

apt-get install incron

Auf Fedora, CentOS oder RedHat:

yum install incron

(jeweils als root)

Berechtigungen:

Standardmäßig darf bei einer Debian-Installation kein Benutzer incron benutzen. Die Berechtigungen werden über die beiden Dateien

/etc/incron.allow

/etc/incron.deny

gesteuert.

Ähnlich wie bei cron (crontab) gibt es hier den Befehl incrontab.

incrontab -l listet die aktuellen Einträge auf

incrontab -e ermöglicht das Bearbeiten der Einträge

Steht der Benutzer, der den Befehl ausführt nicht in der Datei /etc/incron.allow, führen diese zu einer Fehlermeldung.

Möchte man z.B. dass der Benutzer root incron benutzen darf, trägt man einfach nur den Benutzernamen in die Datei /etc/incron.allow ein.

Incrontab aktualisieren:

Mit incrontab -e kann man jetzt die entspr. Dateien/Verzeichnisse und die dazughörigen Events und Aktionen eintragen.

Ich nehme hier das praktische Bsp. (siehe oben):

/etc/apache2/ IN_CLOSE_WRITE /etc/init.d/apache2 reload

Es können Verzeichnisse und Dateien gleichermaßen eingetragen werden.

Die Einträge sind immer in der Form: Datei/Verzeichnis Event Befehl

D.h. in diesem Bsp. wird der Webserver neu gestartet, sobald eine Datei im Verzeichnis /etc/apache2/ gespeichert wird.

Die Events:

IN_ACCESS	Wenn die datei gelesen wird
IN_ATTRIB	Wenn Berechtigungen oder andere Attribute der Datei geändert werden
IN_CLOSE_WRITE	Wenn die Datei zum Schreiben geöffnet war und geschlossen wird
IN_CLOSE_NOWRITE	Wenn die Datei zum Lesen geöffnet war und geschlossen wird
IN_CREATE	Wenn eine Datei im beobachteten Verzeichnis erstellt wird
IN_DELETE	Wenn eine Datei im beobachteten Verzeichnis gelöscht wird
IN_DELETE_SELF	Wenn das beobachtete Verzeichnis bzw. die Datei selbst gelöscht wird
IN_MODIFY	Wenn die Datei oder das Verzeichnis modfiziert wird
IN_MOVE_SELF	Wenn das beobachtete Verzeichnis bzw. die Datei verschoben wird
IN_MOVED_FROM	Wenn ein Verzeichnis bzw. eine Datei aus dem beobachteten Verzeichnis verschoben wird
IN_MOVED_TO	Wenn ein Verzeichnis bzw. eine Datei in das beobachtete Verzeichnis verschoben wird
IN_OPEN	Wenn eine Datei geöffnet wird

Test:

Um das ganze zu testen, speichert man den Cron-Tab ab und beendet den Editor (i.d.R. vi oder nano).

Sobald man jetzt eine Datei in diesem Verzeichnis speichert sollte in /var/log/syslog bzw. in /var/log/messages je nach System ein Eintrag wie dieser zu finden sein:

Mar 29 12:34:39 h1643630 incrond[21786]: (root) CMD (/etc/init.d/apache2 reload)

Updates mit apt-get und cron-apt auf einem Debian-System

Sat, 02 Jan 2010 15:36:13 +0100

Debian,apt-get,update,uprade,cron-apt,mail,notify

Hier möchte ich kurz zeigen, wie man auf einem Debian-System Updates einspielt und sich automatisch bei Verfügbarkeit neuer Updates per E-mail benachrichtigen lassen kann.

Die verfügbaren Repositories stehen in der Datei

/etc/apt/sources.list

Die aktuelle Liste der Pakete lädt man normalerweise mit

apt-get update

herunter.

Mit

apt-get upgrade

werden die Updates installiert.

Jetzt wäre es natürlich von Vorteil, wenn der Server bei Verfügbarkeit neuer Updates automatisch eine E-Mail an den Administrator versenden würde.

Dazu installieren wir das Paket cron-apt:

apt-get install cron-apt

Das Paket cron-apt wird in regelmäßigen Abständen die Paketlisten aktualiseren (update) und die Pakete herunterladen, aber nicht installieren, sondern eine E-Mail versenden.

Dazu editiert man die datei /etc/cron-apt/config und entfernt die Kommentarzeichen vor den folgenden beiden Zeilen:

MAILTO="admin@example.net"

MAILON="upgrade"

Die E-Mail-Adresse ist natürlich durch die des Administrators zu ersetzen.

Damit cron-apt nun auch wirklich eine E-Mail verschickt, muß noch ein Skript an die entsprechende Stelle kopiert werden:

cp /usr/share/doc/cron-apt/examples/9-notify /etc/cron-apt/action.d/

Das Verzeichnis action.d enthält die Aktionen, die von cron-apt augeführt werden sollen.

Ab sofort bekommt der Administrator eine E-Mail bei Verfügbarkeit und braucht die Updates i.d.R. nur noch mit

apt-get upgrade

zu installieren.

Proprietäre NVidia Graphiktreiber installieren (Fedora 12)

Wed, 30 Dec 2009 09:20:36 +0100

fedora,nvidia,linux,proprietär,Treiber,Kernel,Nouveau,x86,x86_64,Grub

Hier möchte ich kurz zeigen, wie man die proprietären Treiber von Nvidia auf einem Fedora-System installiert.

Zunächst lädt man die Treiber von www.nvidia.de herunter.

Dann macht man die Datei ausführbar:

chmod +x NVIDIA-Linux-x86_64-190.53-pkg2.run

Den Dateinamen muß man ggf. ersetzen, zum aktuellen Zeitpunkt, ist das die neuste Version.

Mit

./NVIDIA-Linux-x86_64-190.53-pkg2.run

startet man das Setup.

Jetzt sollte man den Installations-Schritten folgen und den Installer das Kernel-Modul kompilieren und installieren lassen.

Nach der Installation kommt jetzt noch ein wichtiger Schritt:

Für Nvidia-Karten wird automatisch bei der Installation der sogen. Nouveau-Treiber geladen. Ist dieser Treiber aktiv, funktionieren die proprietären Treiber nicht.

Möchte man nun nicht unbedingt die Nouveau-Treiber via yum deinstallieren oder sonstige Verrenkungen machen, kann man den Treiber mit folgendem, kleinen Schritt ganz einfach ausschalten.

Dazu editiert man die Datei /etc/grub.conf und sucht die Zeile die mit "kernel" eingeleitet wird.

Am Ende der Zeile fügt man folgendes ein:

nouveau.modeset=0

Jetzt den Reboot durchführen.

Beim nächsten Neustart sollte vor dem Start von Gnome, KDE oder einer anderen Oberfläche das Nvidia-Logo angezeigt werden!

Das bedeutet, die Installation hat funktioniert.

Um ganz sicher zu sein, kann man noch den Befehl glxinfo verwenden.

Flash-Player auf Fedora Linux installieren

Mon, 28 Dec 2009 21:50:47 +0100

Fedora,Flash,Adobe,flash-plugin,nspluginwrapper,selinux,plugin,firefox

Zuerst benötigt man das RPM adobe-release-i386-1.0-1.noarch.rpm von dieser URL:

http://get.adobe.com/flashplayer/

Wählt man dort die Version "YUM für Linux" aus, bekommt man ein RPM, über das man das Adobe-Repository auf dem lokalen Rechner einrichten kann, ganz einfach mit:

rpm -ivh adobe-release-i386-1.0-1.noarch.rpm

Danach importiert man noch den Key:

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-adobe-linux

Die Installation kann man mit

yum install flash-plugin nspluginwrapper libcurl

starten. Den nspluginwrapper und die Curl-Bibliothek gibt es als 32- und als 64Bit-Paket.

Ist auf dem System SELinux aktiv, empfiehlt sich noch die folgende kleine Anpassung:

setsebool -P allow_unconfined_nsplugin_transition=0

Die obigen Befehle sollten natürlich entweder als root oder via sudo ausgeführt werden.

Jetzt noch den Browser neu starten und in die Adresszeile folgendes eingeben:

about:plugins

Das Flash-Plugin sollte jetzt in der Liste auftauchen.

Nvidia Graphiktreiber via YUM auf Fedora Linux installieren (RPM Fusion)

Mon, 28 Dec 2009 21:34:03 +0100

rpmfusion,fedora,nvidia,treiber,kernel,kmod,kmod-nvidia,yum,installl

Die folgenden Befehle sollte man als root oder via sudo ausführen.

Zuerst installiert man die Repositories mit:

rpm -Uvh http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-stable.noarch.rpm http://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-stable.noarch.rpm

Jetzt muß man die SE Linux Einstellungen etwas anpassen, da sonst der Treiber beim Start nicht geladen wird:

setsebool -P allow_execstack on

Jetzt geht es an die Installation der Treiber. Für eine aktuelle Graphikkarte genügt ein einfaches

yum install kmod-nvidia

Für Graphikkarten der älteren GeForce 5 / FX Serie:

yum install kmod-nvidia-173xx

Und für GeForce sehr alte Karten der Generation Geforce 2-4:

yum install kmod-nvidia-96xx

Das war's schon.

Jetzt noch den Rechner neu starten.

reboot

Alternativ zum Reboot geht auch Folgendes:

init 3

nvidia-config-display enable

Noch ein Hinweis:

Der Befehl nvidia-xconfig sollte nicht verwendet werden, da sonst der Treiber nicht mehr funktioniert.

So kann man ggf. das Problem beheben:

nvidia-config-display disable

nvidia-config-display enable

That's it

Postfix Spamabwehr mit einfachen Mitteln

Mon, 07 Dec 2009 22:23:01 +0100

postfix,helo,smtpd_helo_required,strict_rfc821_envelopes,disable_vrfy_command,antispam,spam

Ich habe schon einige Tutorials veröffentlich, um z.B. Greylisting-Filter, RBLs, u.s.w. in Postfix zu integrieren.

Hier sind als Ergänzung noch einige einfache Mittel, mit denen man die Spam-Flut auch noch etwas reduzieren kann.

Dazu ergänzt man die Datei /etc/postfix/main.cf um folgende Zeilen:

smtpd_helo_required = yes
strict_rfc821_envelopes = yes
disable_vrfy_command = yes
unknown_address_reject_code = 554
unknown_hostname_reject_code = 554
unknown_client_reject_code = 554

smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, regexp:/etc/postfix/helo_check, permit

Die Datei /etc/postfix/helo_check muß man natürlich noch anlegen:

/^domain.tld$/	550 Don't use my hostname
/^123.123.123.123$/	550 Don't use my IP address
/^[123.123.123.123]$/	550 Don't use my IP address
/^[0-9.]+$/	550 Your software is not RFC 2821 compliant
/^[0-9]+(.[0-9]+){3}$/	550 Your software is not RFC 2821 compliant

In der Datei ist domain.tld durch den jeweiligen Host, z.B. cplinux.de auszutauschen - ebenso 123.123.123.123 durch die jeweilige IP-Adresse des Servers.

Diese Maßnahme blockt Spam-Mails bereits ab, bevor sie überhaupt vom Server verarbeitet werden, d.h. je nach Masse der E-Mails, kann das die Server-Last sogar etwas senken.

Viele Spammer senden keine korrekten Helo-Anfragen, halten sich nicht an die Standards oder versuchen, die eigene Adresse oder Domain zu mißbrauchen.

Solche Mails werden so ganz einfach von vornherein geblockt.

Abschließend sollte man noch die Postfix-Konfiguration neu laden: /etc/init.d/postfix reload

Postgrey in Postfix integrieren (Greylisting Filter)

Mon, 07 Dec 2009 22:12:32 +0100

postgrey,postfix,greylisting,graylisting,greylist,antispam,anti-spam

So einfach kann man Postgrey in eine bestehende Postfix-Installation integrieren:

Die Installation erledigt man auf einem Debian-System ganz einfach mit:

apt-get install postgrey

Danach kann man (das ist kein Muß) noch die Datei /etc/default/postgrey anpassen.

Diese enthält:

POSTGREY_OPTS="--inet=127.0.0.1:60000" #Der Dienst benutzt den lokalen Port 60000

POSTGREY_TEXT="Greylisted" #Dieser Parameter ist optional und enthält die Greylisting-Meldung

Der Greylisting-Filter arbeitet standardmäßig mit einer Verzögerung von 5 Minuten. Ist einem das zu lang fügt man

--delay=120

in den Parameter POSTGREY_OPTS oben mit ein. Die zeit ist in Sekunden, im o.a. Bsp. also 2 Minuten.

Wissenswert ist auch noch, dass Postgrey eine Client- und Empfänger-Whitelist führt:

/etc/postgrey/whitelist_clients

/etc/postgrey/whitelist_recipients

Diese kann man ggf. um eigene Hosts bzw. eigene Einträge erweitern.

Jetzt kommt die Integration in Postfix. Dazu sucht man in der Datei /etc/postfix/main.cf die Zeile smtpd_recipient_restrictions.

Den Parameter ergänzt man durch:

check_policy_service inet:127.0.0.1:60000

und zwar unbedingt vor dem Permit, sofern der Parameter in der Zeile vorhanden ist.

Die Zeile könnte dann folgendermaßen aussehen:

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unauth_destination, reject_unlisted_recipient, check_policy_service inet:127.0.0.1:60000, reject_unauth_pipelining

Es ist unbedingt darauf zu achten, dass die Parameter in der Konfigurationsdatei in einer Zeile stehen.

Jetzt startet man nochmal die Dienste neu und der Postgrey-Filter verrichtet seinen Dienst!

/etc/init.d/postgrey restart

/etc/init.d/postfix restart

PPK Dateien für OpenSSH unter Linux konvertieren

Wed, 25 Nov 2009 21:52:32 +0100

ssh,ppk,ssh-add,agent,id_rsa,puttygen,putty-tools,private-openssh,public-openssh

Dazu benötigt man die putty-tools.

Auf einem Debian- oder Ubuntu-basierten System erledigt man die Installation bequem mit:

apt-get install putty-tools

Das eigentliche Konvertieren übernimmt der Befehl puttygen.

Erstellung des öffentlichen Schlüssels:

puttygen key.ppk -o id_rsa.pub -O public-openssh

Erstellung des privaten Schlüssels:

puttygen key.ppk -o id_rsa -O private-openssh

Jetzt kopiert man die beiden Dateien id_rsa und id_rsa.pub im entsprechenden Benutzerverzeichnis in das Unterverzeichnis .ssh/.

Mit dem Befehl ssh-add kann man den Key hinzufügen.

ssh-add -l listet alle aktuellen Identitäten auf.

Eclipse PDT mit Subclipse auf Ubuntu 9.10 einrichten

Sun, 22 Nov 2009 11:03:28 +0100

eclipse,pdt,ubuntu,subclipse,svn,32bit,64bit,debian,

Da es beim Einrichten von Eclipse zu einigen Problemen kommen kann, habe ich mich dazu entschlossen, eine kleine Anleitung zu verfassen:

Zuerst installiert man Java, und zwar die Version von Sun:

apt-get install sun-java6-bin sun-java6-jdk sun-java6-jre

als root oder auch via sudo:

sudo apt-get install sun-java6-bin sun-java6-jdk sun-java6-jre

Jetzt kann man schon mal Eclipse PDT herunterladen, die Version für PHP-Entwickler:

www.eclipse.org/pdt/downloads/

Die Version für Linux gibt es als 32Bit- und als 64Bit-Version

Jetzt entpackt man das Archiv in den entsprechenden Ordner, z.B. in /usr/local:

tar -xvpf eclipse-php-galileo-SR1-linux-gtk-x86_64.tar.gz

Den Dateinamen muß man ggf. abändern.

In aller Regel wird eclipse die Standard-VM verwenden. Ggf. kann man im Eclipse-Ordner, in der Datei eclipse.ini selbst eine vm bestimmen. Hier ein Beispiel:

-startup
plugins/org.eclipse.equinox.launcher_1.0.201.R35x_v20090715.jar
--launcher.library
plugins/org.eclipse.equinox.launcher.gtk.linux.x86_64_1.0.200.v20090519
-product
org.eclipse.epp.package.php.product

-vm

/usr/lib/jvm/java-6-sun/jre/bin/java
-showsplash
org.eclipse.platform
--launcher.XXMaxPermSize
512m
-vmargs
-Dosgi.requiredJavaVersion=1.5
-XX:MaxPermSize=512m
-Xms40m
-Xmx256m

Wie man sieht, läßt sich in dieser Datei auch der maximal verwendbare Speicher konfigurieren.

Bevor man Eclipse nun startet erstellt man ein kleines Shell-Script start.sh im Eclipse-Ordner:

#!/bin/bash
export GDK_NATIVE_WINDOWS=true
/data1/Eclipse/IDE/./eclipse

Je nach Ubuntu-Installation kann es zu kleinen Problemen bei der Steuerung kommen, z.B. das der Links-Klick der Maus auf einigen Buttons nicht richtig funktioniert. Um dieses Problem - ein bereits gemeldeter Bug zum aktuellen Zeitpunkt - zu beheben, wird vor Programmstart die Variable GDK_NATIVE_WINDOWS gesetzt.

Danach muß man das Script noch ausführbar machen:

chmod 777 start.sh

Ok, Zeit für den ersten Start:

sh start.sh

Standardmäßig ist in Eclipse als Versionsverwaltung nur CVS enthalten. Deshalb rüsten wir jetzt Subversion in Form des Plugins Subclipse nach.

Dazu klickt man auf Help - Install New Software:

Danach fügt man über den Button Add ein neues Repository hinzu, wie abgebildet:

Als Namen habe ich Subclipse genommen, die Adresse verweist auf die aktuelle Subclipse-Version:

http://subclipse.tigris.org/update_1.6.x

Nach der Installation wird Eclipse neu starten. Danach ist die Installation bereits vollständig.

Jetzt installieren wir das Paket libsvn-java:

apt-get install libsvn-java

als root oder via sudo wie ganz oben bereits gezeigt.

Jetzt öffnet man die Einstellungen via Window - Preferences.

Dort wählt man links Team - SVN aus und wählt als SVN Interface "SVNKit (Pure Java)...", wie abgebildet:

Mit ok bestätigen, das war's!

Jetzt kann man Projekte via SVN auschecken!

Spamdyke als Anti-Spam-Lösung in eine Plesk-Installation mit Qmail integrieren

Tue, 27 Oct 2009 16:22:51 +0100

Plesk,Spamdyke,Spam,greylist,graylist,whitelist,blacklist,antispam

Im Folgenden werde ich zeigen, wie man die Anti-Spam-Lösung spamdyke in eine bestehende Plesk-Installation integriert. Standardmäßig verwendet Plesk den Maildienst Qmail.

Zuerst einmal stellt man sicher, dass alle benötigten Pakete auf dem System installiert sind. Auf einem Debian-System erledigt man das mit:

apt-get install gcc make libc-dev

Jetzt lädt man sich die neueste Version von Spamdyke herunter:

http://www.spamdyke.org/download.html

Aktuell ist 4.0.10 die neueste Version. Man kann die Datei auch direkt auf dem Server herunterladen und entpacken:

wget http://www.spamdyke.org/releases/spamdyke-4.0.10.tgz

tar -xvzf spamdyke-4.0.10.tgz

cd spamdyke-4.0.10/spamdyke

Jetzt muß man das Paket kompilieren:

./configure

make

Nach den beiden Befehlen sollte sich jetzt die ausführbare Datei spamdyke in dem Verzeichnis befinden. Diese kopiert man jetzt z.B. in /usr/local/bin für die spätere Verwendung:

cp spamdyke /usr/local/bin/

Soweit so gut, Spamdyke ist installiert! Jetzt muß es noch in die Plesk-Konfiguration eingebunden werden.

Normalerweise sollte das System xinetd verwenden. Zuerst sichert man die Original-Dateien:

cp /etc/xinetd.d/smtp_psa /etc/xinetd.d/smtp_psa.orig
cp /etc/xinetd.d/smtps_psa /etc/xinetd.d/smtps_psa.orig

Jetzt editiert man die beiden Dateien smtp_psa und smtps_psa, z.B. mit nano, vim, etc.

Nun fügt man den folgenden Befehl ein und zwar direkt vor /var/qmail/bin/qmail-smtpd.

Bitte dabei darauf achten, dass der Befehl nicht in eine neue Zeile umbricht.

/usr/local/bin/spamdyke -f /etc/spamdyke.conf

Danach sollte man xinetd neu starten:

/etc/init.d/xinetd restart

ACHTUNG!

Je nach Plesk-Version kann es sein, dass das System inetd statt xinetd verwendet.

Dann gilt es den Befehl

/usr/local/bin/spamdyke -f /etc/spamdyke.conf

in der Datei /etc/inetd.conf einzutragen, direkt vor /var/qmail/bin/qmail-smtpd.

Den Neustart erledigt man mit:

/etc/init.d/inetd restart

Die Konfigurationsdatei für Spamdyke fehlt natürlich noch. Dazu legen wir die Datei /etc/spamdyke.conf an, mit folgendem Inhalt:

log-level=2
local-domains-file=/var/qmail/control/rcpthosts
max-recipients=20
idle-timeout-secs=60
graylist-dir=/var/qmail/spamdyke/greylist
graylist-min-secs=300
graylist-max-secs=1814400
sender-blacklist-file=/var/qmail/spamdyke/blacklist_senders
sender-whitelist-file=/var/qmail/spamdyke/whitelist_senders
recipient-blacklist-file=/var/qmail/spamdyke/blacklist_recipients
ip-in-rdns-keyword-file=/var/qmail/spamdyke/blacklist_keywords
ip-blacklist-file=/var/qmail/spamdyke/blacklist_ip
rdns-whitelist-file=/var/qmail/spamdyke/whitelist_rdns
ip-whitelist-file=/var/qmail/spamdyke/whitelist_ip
reject-empty-rdns
reject-unresolvable-rdns
greeting-delay-secs=5
check-dnsrbl=bl.spamcop.net
reject-missing-sender-mx

Die Konfiguration kann man natürlich noch etwas anpassen.

Die o.a. Konfiguration ist für den Anfang denke ich schon mal nicht schlecht. Eine vollständige Liste aller möglichen Optionen findet man hier:

http://www.spamdyke.org/documentation/README.html

Ok, jetzt gilt es, die fehlenden Verzeichnisse gemäß der Konfigurationsdatei anzulegen:

mkdir -p /var/qmail/spamdyke/greylist
touch /var/qmail/spamdyke/blacklist_ip
touch /var/qmail/spamdyke/blacklist_recipients
touch /var/qmail/spamdyke/whitelist_ip
touch /var/qmail/spamdyke/blacklist_keywords
touch /var/qmail/spamdyke/blacklist_senders
touch /var/qmail/spamdyke/whitelist_senders
touch /var/qmail/spamdyke/whitelist_rdns

Ich denke, die Namen der Dateien verdeutlichen selbst, wofür sie stehen. In die Datei "blacklist_ip" z.B. kann man z.B. zeilenweise die IP-Adressen eintragen, die man sofort blocken möchte.

Zu beachten ist, dass nach einer Änderung xinetd und qmail neu gestartet werden sollten, damit die Änderungen wirksam werden.

Die neu angelegten Dateien müssen nun noch die richtigen Berechtigungen bekommen:

chown -R qmaild:nofiles /var/qmail/spamdyke

Für bereits existierende E-Mail-Konten müssen nun noch die entsprechenden Greylist-Ordner angelegt werden:

cd /var/qmail/spamdyke/greylist/
for i in `ls -1 /var/qmail/mailnames`; do mkdir $i; done
chown -R qmaild:nofiles /var/qmail/spamdyke

Damit das nicht für jede neu angelegte Domain wiederholt werden muß, erstellt man nun ein kleines Shell-Script, das danach im Plesk Event Manager eingetragen wird. Die Datei kann man z.B. in /usr/local/psa/bin anlegen: /usr/local/psa/bin/create_greylist_folder.sh

#!/bin/bash

# greylist folder
greylist_path="/var/qmail/spamdyke/greylist"

# add new folder
mkdir $greylist_path/$1

# create proper permissions
chown qmaild:nofiles $greylist_path/$1

exit

I.d.R. dürfte das Skript bereits root gehören. Es muß aber noch die entsprechenden Berechtigungen bekommen, damit es ausführbar ist:

chown root:root /usr/local/psa/bin/create_greylist_folder.sh
chmod 755 /usr/local/psa/bin/create_greylist_folder.sh

Das neue Skript tragen wir jetzt im Plesk Event Manager ein. Der Event Manager befindet sich im Bereich Server.

Dort klickt man dann auf "Add Event Handler", um ein Ereignis hinzuzufügen.

Jetzt trägt man das neue Event wie abgebildet ein:

Event	Domain created
Priorität	Normal
Benutzer	root
Befehl	/usr/local/psa/bin/create_greylist_folder.sh

Das war's! Jetzt sollte man sich die Logs ansehen! /var/log/mail.info bzw. /var/log/mail.log

BIND 9 Master Domain aufsetzten ( DEBIAN )

Mon, 19 Oct 2009 12:04:45 +0200

bind9 dns namesserver

In diesem Artikel befassen wir uns damit nen Bind9 Server für den altäglichen Gebrauch aufzusetzten, entweder als Firmen DNS Server, oder aber als Master Server in einem Rechenzentrum. Zum Start beginenn wir mit der Packet Installation, Voraussetzung ist eine bereits funktionierende Internetanbindung:

apt-get install bind9

Dies installiert uns alle benötigten Pakete. Es ist nun folgendes Verzeichnis verfügbar /etc/bind/

welches folgende Dateien enthält:

db.0
db.127
db.255
db.empty
db.local
db.root
named.conf
named.conf.local
named.conf.options
rndc.key
zones.rfc1918

Um später eine klare Struktur zu haben legen wir noch folgenden Ordner an:

cd /etc/bind/ && mkdir zones

Nun ermitteln wir den Namen und die IP Addresse des eigenen Servers und die des Internetanbieters.

Ein Blick auf die Internetseite des Internetdienstleisters sollte uns Aufschluß darüber bringen welche DNS Server dieser Verwendet allerdings kann man dies auch mit folgendem command ermitteln:

grep nameserver /etc/resolv.conf

Für die eigene IP und den eigenen namen erlangen wie die Weisheit wie folgt:

ifconfig

hostname

Die Angaben notieren wir uns irgendwo damit wir diese später zur Hand haben.

Nun editieren wir die named.conf.options

vim /etc/bind/named.conf.options

Mit "i" können wir text eintragen und mit "ESC" verlassen wir den eingabe modus, mit ":wq" speichern wir die Datei. Die Datei named.conf.options sollte um folgende Angaben ergänzt werden:

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk. See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        forwarders {
               xxx.xxx.xxx.xxx;
               xxx.xxx.xxx.xxx;
        };

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

Die xxx.xxx.xxx.xxx in der Forwarders section sollten durch die IP Addressen der Namesserver des Internet Dienstanbieters ersetzt werden. Als nächstes muß die Zone angelegt werden, dafür haben wir

ja bereits unseren ordner zones vorbereitet, in diesem erstellen wir jetzt wie folgt eine Datei:

cd /etc/bind/zones/ && touch master.zone

Anschließend editieren wir diese und fügen folgenden Inhalt ein:

$TTL 3D

@       IN      SOA     ns1.master.zone.     hostmaster.master.zone. (
                                        199802151       ; serial, todays date + todays serial #
                                        8H              ; refresh, seconds
                                        2H              ; retry, seconds
                                        4W              ; expire, seconds
                                        1D )            ; minimum, seconds
;
                                TXT     "master.zone, serving YOUR domain :)"
                                NS      ns1             ; Inet Address of name server
                                MX      10 mail         ; Primary Mail Exchanger
localhost       A       127.0.0.1
ns1             A       xxx.xxx.xxx.xxx
local           CNAME   ns1

Die xxx.xxx.xxx.xxx ist durch die IP Addresse des Servers zu ersetzten. Die Einstellungen zur Lifetime der Domain können entprechend der Kommentare angepasst werden. Die Einstellungen für die ns1 Eintstellungen können nach beliben mit weiteren einträgen und IP Addressen ergänzt werden, ein genaueres Beispiel folgt in dem Tutorial für die Slavekonfiguration. Jetzt muß der Startkonfiguration des Namensservers noch die Datei bekannt gemacht werden und der Typ auf master eingestellt werden. Dies wird in der named.conf.local eingestellt:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
zone "master.zone" {
type master;
file "/etc/bind/zones/master.zone";
};

Damit findet der Bind Server die Zone und wir können einen ersten Test starten.

/etc/init.d/bind9 restart

ping google.de

ping master.zone.local

Sollten beide Domains erreichbar sein ist dieses Tutorial erfolgreich abgeschlossen. Interessant wird es jetzt wenn eine neue Domain als Slave eingetragen werden soll, dazu folgt das Tutorial Bind9 Slave Domain aufsetzten.

clamassassin als Antivirus-Lösung mit Maildrop in Courier-Postfix-Installationen integrieren

Sat, 03 Oct 2009 13:30:15 +0200

clamav,clamassassin,antivirus,courier,maildrop,postfix

Die Integration vom clamassassin in eine Courier-Postfix-Konfiguration ist spielend einfach.

Zunächst einmal installiert man clamassassin via:

apt-get install clamassassin clamav clamav-freshclam clamav-daemon clamav-base

Die Integration in die Konfiguration erfolgt analog zur Integration der Anti-Spam-Lösung Spamassassin:

www.cplinux.de/e-mail-server/spamassassin-mit-maildrop-in-courier-postfix-installationen-integrieren.html

Das Script /etc/courier/maildroprc muß dann nur noch um folgende Zeilen ergänzt werden:

exception {
xfilter "/usr/bin/clamassassin"
if (/^X-Virus-Status: Yes/)
{
to /dev/null
}
}

Das bewirkt, dass als Virus erkannte Mails direkt gelöscht werden.

Möchte man die E-Mails stattdessen erst einmal in einen Quarantäne-Ordner verschieben, geht das natürlich auch:

`[ -d $DEFAULT/.Quarantine ]`
if ( $RETURNCODE == 1 )
{
`maildirmake.courier $DEFAULT/.Quarantine`
}

exception {
xfilter "/usr/bin/clamassassin"
if (/^X-Virus-Status: Yes/)
{
to "$DEFAULT/.Quarantine/"
}
}

Der erste Teil des Scripts stellt dabei sicher, dass der Ordner Quarantine existiert und legt diesen ggf. an. Der zweite Teil übernimmt wie oben die Virus-Prüfung und verschiebt die E-Mail bei positiver Erkennung in den Ordner Quarantine.

Postfix-Courier/Cyrus mit DES/AES-Verschlüsselung

Sat, 03 Oct 2009 13:18:23 +0200

postfix,courier,cyrus,encryption,encrypt,des,aes,sha1,md5

Die beiden Tutorials

www.cplinux.de/e-mail-server/postfix-mit-mysql-courier-konfiguration.html

www.cplinux.de/e-mail-server/postfix-mit-mysql-cyrus-konfiguration.html

beschreiben, wie man eine Basis-Konfiguration mit Postfix & Courier bzw. Postfix & Cyrus in Verbindung mit mySQL aufsetzt.

Das Ganze hat prinzipiell nur einen kleinen Nachteil. Derjenige, der Zugriff auf die Datenbank bekommt (normalerweise sollte das nur über localhost und den Benutzer postfix z.B. möglich sein), kann natürlich die Passwörter im Klartext auslesen.

Um das zu ändern, ohne dass man auf die Encrypt-Option zurückgreifen muß (die nicht in allen Versionen der Betriebssysteme ohne Patch verfügbar ist), kann man z.B. auf die DES-Verschlüsselung zurückgreifen, die von mySQL unterstützt wird.

So kann man mit Hilfe eines Schlüssels, den man selbst definieren kann, ein bestimmtes Passwort verschlüsseln und wieder entschlüsseln.

Im Folgenden gehe ich davon aus, dass die E-Mail-Adresse selbst für die Verschlüsselung des Passworts verwendet wird. Aus der E-Mail-Adresse könnte man natürlich auch vorher noch einen Hash erzeugen oder diese anderweitig verschlüsseln (z.B. md5(email), sha1(email), password(email), etc., siehe unten). Das könnte natürlich auch z.B. ein Hash sein, der sich in der gleichen oder einer anderen Tabelle befindet.

Das sollen erst einmal Anregungen sein, um zu zeigen, was man machen könnte.

Folgende Dateien ändern sich demnach:

/etc/postfix/sasl/smtp*.conf: (Zeile austauschen)

select DES_DECRYPT(password,email) from users where email='%u@%r' and status='1'

/etc/postfix/mysql_auth.cf: (komplett)

user = postfix
password = post
dbname = postfix
table = users
select_field = email
where_field = DES_DECRYPT(password,email)
additional_conditions = and status='1'
hosts = localhost

/etc/courier/authmysqlrc: (Zeile austauschen)

MYSQL_CLEAR_PWFIELD DES_DECRYPT(password,email)

Anmerkung:

Möchte man nicht nur die E-Mail-Adresse verwenden, sondern z.B. vorher daraus einen MD5-Hash erzeugen, ersetzt man alle

DES_DECRYPT(password,email)

durch

DES_DECRYPT(password,MD5(email))

Legt man einen neuen User an, muß man das Passwort natürlich verschlüsseln:

INSERT INTO users (user_login, user_password, user_email, user_status) VALUES ('testuser', DES_ENCRYPT('testpassword', 'testuser@example.net'), 'testuser@example.net', '1');

bzw.

INSERT INTO users (user_login, user_password, user_email, user_status) VALUES ('testuser', DES_ENCRYPT('testpassword', MD5('testuser@example.net')), 'testuser@example.net', '1');

Statt DES_ENCRYPT kann man natürlich auch AES_ENCRYPT verwenden.

Als Resultat kann man die Passwörter nun nicht mehr im Klartext aus der Datenbank auslesen, man kann sie aber entschlüsseln, wenn man den Schlüssel kennt.

Danach noch einmal die Dienste neu starten:

/etc/init.d/courier-authdaemon restart

/etc/init.d/courier-imap restart

/etc/init.d/postfix restart

That's it.

SMTP Auth in einer Postfix-mySQL-Konfiguration aufsetzen

Sat, 03 Oct 2009 13:04:22 +0200

postfix,smtp,auth,sasl,autentification,mysql

Damit der E-Mail-Versand mit SMTP-Auth via SASL funktioniert, müssen im Verzeichnis

/etc/postfix/sasl (zu erstellen, wenn es nicht existiert) die beiden Dateien smtpd.conf und smtp.conf angelegt werden, jeweils mit dem gleichen Inhalt:

pwcheck_method: auxprop
auxprop_plugin: sql
mech_list: plain login
sql_engine: mysql
sql_hostnames: localhost
sql_user: postfix
sql_passwd: post
sql_database: postfix
sql_verbose: yes
sql_select: select password from users where email='%u@%r' and status='1'

Die mySQL-Zugangsdaten für die Datenbank muß man hier natürlich ersetzen.

Das Ganze funktioniert in Verbindung mit diesem beiden Tutorials:

www.cplinux.de/e-mail-server/postfix-mit-mysql-courier-konfiguration.html

www.cplinux.de/e-mail-server/postfix-mit-mysql-cyrus-konfiguration.html

Spamassassin mit Maildrop in Courier-Postfix-Installationen integrieren

Sat, 23 May 2009 11:04:52 +0200

maildrop,couriermaildrop,spamassassin,spamc,postfix

Ich habe im Netz viele Tutorials dazu gefunden, aber keins passte 100% auf die Tutorials, die ich auch auf dieser Seite verfasst habe. Also schreibe ich hier nochmal exakt zusammen, wie man das am problemlosesten anstellt.

In diesen Tutorials verwalte ich die Mails in Courier in der Form /home/vmail/domain/account/

www.cplinux.de/e-mail-server/courier-imap-mit-mysql.html

www.cplinux.de/e-mail-server/postfix-mit-mysql-courier-konfiguration.html

Funktionsweise:

In diesem Tutorial verwende ich Maildrop, um bei Postfix ankommende Mails an maildrop zu übergeben, diese zu filtern (Spamassassin) und dann an an Courier auszuliefern.

Zunächst ändern wir die Postfix-Konfiguration ab. In der Datei /etc/postfix/master.cf tauschen wir die beiden Zeilen für den maildrop-Dienst wie folgt aus:

maildrop unix - n n - - pipe
flags=DRhu user=vmail:vmail argv=/usr/bin/maildrop /etc/courier/maildroprc ${user} ${nexthop} ${sender}

Dann müssen die folgenden Werte in die /etc/postfix/main.cf eingetragen werden. Existierende Einträge müssen ersetzt werden:

local_destination_concurrency_limit = 1

mailbox_transport = virtual
virtual_transport = maildrop
maildrop_destination_recipient_limit = 1

Jetzt benötigen wir das Paket courier-maildrop (alternativ funktioniert das auch mit maildrop).

Das Paket installiert man auf Debian mit

apt-get install courier-maildrop

Jetzt muß die Datei /etc/courier/maildroprc (im Falle von maildrop statt courier-maildrop ist es /etc/maildroprc) angelegt werden:

DEFAULT="/home/vmail/$2/$1/"
DOMAINDIR="/home/vmail/$2"

`[ -d $DOMAINDIR ]`
if ( $RETURNCODE == 1 )
{
`mkdir -p $DOMAINDIR`
}

`[ -d $DEFAULT ]`
if ( $RETURNCODE == 1 )
{
`maildirmake.courier $DEFAULT`
}

`[ -d $DEFAULT/.Junk ]`
if ( $RETURNCODE == 1 )
{
`maildirmake.courier $DEFAULT/.Junk`
}

exception {
xfilter "/usr/bin/spamc -u vmail"
if (/^X-Spam-Flag: YES/)
{
to "$DEFAULT/.Junk/"
}
}

Das Maildrop-Script prüft mittels Spamassassin, ob es sich um Spam handelt und sortiert die Mail ggf. in den Ordner Junk ein. Andernfalls landet sie im Posteingang.

Die oberen Passagen im Script sind dazu da, zu überprüfen, ob das Domain-Verzeichnis, das Mailbox-Maildir-Verzeichnis und der Junk-Ordner existieren. Wenn dem nicht so ist, werden die Ordner automatisch angelegt.

Da das Script von Postfix über den Benutzer vmail ausgeführt wird (siehe Eintrag in der /etc/postfix/master.cf, führt das zu keinen Berechtigungsproblemen mit Courier.

Das automatische Anlegen der Ordner ist auch praktisch, wenn man die Benutzer via mySQL verwaltet. So erspart man sich das manuelle Anlegen des Verzeichnisses auf dem Server. Eine Mail an die neue Adresse zu schicken genügt. :)

Das Maildrop-Skript läßt sich noch beliebig erweitern. Z.B. könnte man Mails ab einem gewissen Spam-Score direkt löschen und gar nicht erst ausliefern.

WICHTIG:

Die Datei /etc/courier/maildroprc muß jetzt noch die richtigen Berechtigungen bekommen:

chown vmail:vmail /etc/courier/maildroprc

chmod 700 /etc/courier/maildroprc

Jetzt noch Postfix neu starten und das war's!

/etc/init.d/postfix restart

Mass Virtual Hosting mit mod_rewrite (RewriteMap) und PHP

Mon, 11 May 2009 23:41:32 +0200

rewritemap,prg,virtual,hosting,mod_rewrite,rewrite,apache2,mass,php,cli

Hier ist eine einfache Möglichkeit, viele Hosts mit Hilfe eines Scripts (in diesem Fall PHP) zu steuern.

Voraussetzung ist, dass das Modul mod_rewrite geladen ist.

Das erledigt man entweder mit

a2enmod rewrite

oder auf einem Debian-System mit

cd /etc/apache2/mods-enabled

ln -s ../mods-available/rewrite.load rewrite.load

Um nun das Url-Rewriting per PHP-Script einzurichten, fügt man zunächst folgendes in der Datei /etc/apache2/apache2.conf am Ende ein:

RewriteEngine on

RewriteMap lowercase int:tolower

# hier wird die MAP definiert
RewriteMap vhost prg:/etc/apache2/vhost.php

RewriteLock /var/run/apache2/vhost.lock

# Aliase
RewriteCond %{REQUEST_URI} !^/icons/
RewriteCond %{REQUEST_URI} !^/cgi-bin/
RewriteCond ${lowercase:%{SERVER_NAME}} ^(.+)$
# Rewriting
RewriteCond ${vhost:%1} ^(/.*)$
RewriteRule ^/(.*)$ %1/$1

RewriteCond %{REQUEST_URI} ^/cgi-bin/
RewriteCond ${lowercase:%{SERVER_NAME}} ^(.+)$
RewriteCond ${vhost:%1} ^(/.*)$

Dann legt man die Datenbank und die erforderliche Tabelle an:

mysql --user=XXXXXXXXXX --password=XXXXXXXXXX;

CREATE DATABASE srvadm;
USE srvadm;
CREATE TABLE `vhosts` (
`vhost_id` int(5) NOT NULL auto_increment,
`domain` varchar(100) NOT NULL,
`document_root` varchar(255) NOT NULL,
`created` datetime NOT NULL,
`lastmodified` timestamp NOT NULL default CURRENT_TIMESTAMP on update CURRENT_TIMESTAMP,
PRIMARY KEY (`vhost_id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1;

Dann legt man noch das Script /etc/apache2/vhosts.php an:

#!/usr/bin/php
/***************************************/
//Konfiguration
define('DB_HOST','localhost');
define('DB_USER', 'XXXXXXXXXX');
define('DB_PASSWORD', 'XXXXXXXXXX');
define('DB_NAME', 'srvadm');
/***************************************/

$db = mysql_connect(DB_HOST, DB_USER, DB_PASSWORD) or die('COULD NOT CONNECT TO DB');
mysql_select_db(DB_NAME) or die('DATABASE NOT FOUND OR NOT ACCESSIBLE');

if ($stdin=fopen("php://stdin","r")) {
    while (!feof($stdin)) {

          //Domain name via STDIN auslesen
          $domain = fgets($stdin,4096);

          //document_root anhand der Domain aus der Datenbank auslesen
          $result = mysql_query("SELECT document_root FROM vhosts WHERE domain='".trim($domain)."' ");
          $arr = mysql_fetch_assoc($result);

          //Ausgabe generieren
          $output = $arr['document_root'];

          //Ausgabe
          if ($stdout = fopen("php://stdout", "w")) {
                fwrite($stdout,$output."n");
                fclose($stdout);
          }

     }
     fclose($stdin);
}

mysql_close($db);
?>

ACHTUNG!

Für das o.a. Script wird php5-cli und php5-mysql benötigt.

Beides läßt sich per apt-get installieren.

WICHTIG!

Zu ersetzen sind in dem Script die Zugangsdaten zur mysql-Datenbank im Block Konfiguration;

Nach einem Neustart mit /etc/init.d/apache2 restart, kann man das URL-Rewriting dann über die Datenbank steuern.

D.h. anhand der aufgerufenen Domain wird in der Datenbank der document_root ermittelt und die Anfrage wird auf das entsprechende Verzeichnis umgeschrieben.

That's it.

NFS Server und Clients einrichten (Debian / CentOS)

Sun, 10 May 2009 14:26:14 +0200

nfs,share,server,client,linux,debian,centos

NFS (Network File System) erlaubt es, relativ leicht, Shares zwischen Linux-Servern und -Clients zu erstellen.

Zunächst installieren wir die benötigen Pakete auf dem Server:

Auf einem Debian-System genügt ein:

apt-get install nfs-kernel-server nfs-common portmap

Auf CentOS:

yum install nfs-server nfs-utils portmap

Jetzt installieren wir die erforderliche Pakete auf einem Client:

Auf einem Debian-System:

apt-get install nfs-common portmap

Auf CentOS:

yum install nfs-utils portmap

Jetzt erstellen wir eine Freigabe:

Zunächst legen wir auf dem Server ein Verzeichnis an, dass wir später freigeben, hier /mnt/nfs als Bsp.:

mkdir /mnt/nfs
chown nobody:nogroup /mnt/nfs

Dann geht es an die Konfiguration. Dazu editieren wir die Datei /etc/exports:

/mnt/nfs 123.123.123.123(rw,sync,no_subtree_check,no_root_squash)

Es gibt hier einige Optionen, hier die wichtigsten:

rw	Das Share wird zum Lesen + Schreiben freigegeben (read-write)
ro	Das Share wird nur mit Lese-Berechtigungen freigegeben (readonly)
no_root_squash	Diese Option bewirkt, dass der root-Benutzer des Clients mit root-Berechtigungen schreiben darf.

In den manpages findet man weitere Informationen: man nfs

Das bewirkt, dass das Verzeichnis /mnt/nfs für die IP 123.123.123.123 freigegeben wird.

Nachdem die Datei gespeichert wurde, muß noch ein

exportfs -a

ausgeführt werden, damit die Änderungen wirksam werden.

Jetzt muß das Share noch auf dem Client ins Dateisystem eingehangen werden:

Z.B. so:

mkdir /mnt/123nfs

mount 123.123.123.123:/mnt/nfs /mnt/123nfs

Hier muß man darauf achten, dass man den kompletten, absoluten Pfad des Shares auf dem Server verwendet. In diesem Fall wird das Verzeichnis nfs vom Server in das Verzeichnis 123nfs auf dem Client eingehangen.

Jetzt kann man das Share noch in die Datei /etc/fstab eintragen, damit man es später einfacher mounten kann:

123.123.123.123:/mnt/nfs /mnt/123nfs nfs rw,sync,no_subtree_check,no_root_squash

Danach genügt nun ein einfaches

mount /mnt/12nfs

zum Mounten.

Noch ein Hinweis:

Läuft auf Server und/oder Client eine Firewall, muß diese entsprechend angepasst werden.

That's it.

Dynamische Subdomains mit mod_vhost_alias

Tue, 28 Apr 2009 21:15:00 +0200

mod_vhost_alias,vhost_alias,vhost,alias,apache2,dynamic,subdomains

Wer einen Development-Server oder einen Server mit vielen Domains betreibt und nicht jede Domain einzeln konfigurieren möchte, kann sich mit dem Modul mod_vhost_alias viel Arbeit ersparen.

Zunächst muß das Modul aktiviert werden. Normalerweise ist es bei einer Debian-Apache2-Installation bereits enthalten.

a2enmod vhost_alias

oder

cd /etc/apache2/mods-enabled

ln -s ../mods-available/vhost_alias.load vhost_alias.load

Jetzt erstellen wir eine VHost-Konfiguration, z.B. so:

NameVirtualHost *.example.net

        ServerAdmin admin@example.net

        UseCanonicalName Off
        VirtualDocumentRoot /var/www/vhosts/example.net/subdomains/%1

        DocumentRoot /var/www/vhosts/example.net/subdomains/

           # directory options


          # directory options


        ErrorLog /var/log/apache2/error.log
        CustomLog /var/log/apache2/access.log combined

Angenommen, der Webserver hat den Namen example.net, so sucht der Webserver jetzt automatisch alle

Subdomains in /var/www/vhosts/example.net/subdomains/.

Bsp.:

test.example.net

/var/www/vhosts/example.net/subdomains/test

Das Ganze funktioniert natürlich nicht nur mit Subdomains, so könnte man auch einen Eintrag anlegen.

Wenn es stört, dass alle Hosts die gleichen Log-Dateien benutzen, kann ggf. das LogFormat so anpassen, dass die Logs leicht aufteilbar werden, z.B. so:

LogFormat "%V %h %l %u %t "%r" %s %b" vcommon

Jetzt noch den Webserver neu starten und das war's!

/etc/init.d/apache2 restart

Wildcard-Domains mit Apache2

Sun, 26 Apr 2009 19:17:15 +0200

apache2,wildcard,domain,webserver,vhost,webmail

Beim Konfigurieren eines Webservers ist es hin wieder recht praktisch, wenn man so genannte Wildcard-Domains anlegen kann.

Z.B. ein Webmail-Client sollte für alle Domains funktionieren, ohne, dass man das für jeden VirtualHost ändern muß.

Anstatt das für jede Domain einzeln zu definieren, kann man das auch folgendermaßen tun:

ServerName webmail.example.net
ServerAlias webmail.*

ServerAdmin admin@example.net

DocumentRoot /var/www/webmail

      Options -Indexes -MultiViews FollowSymLinks
      AllowOverride All
      Order allow,deny
      allow from all

ErrorLog /var/log/apache2/webmail-error.log
CustomLog /var/log/apache2/webmail-access.log combined

Dabei ist die Zeile ServerAlias webmail.* wichtig.

Damit kann jede Domain den Webmailer verwenden. Das läßt sich natürlich beliebig auf andere Anwendungen ausweiten.

Erweitertes Mass Virtual Hosting mit mod_macro

Sun, 26 Apr 2009 13:20:28 +0200

vhosts,mass,vhost,mod_macro,macro,virtual,host

In dem vorhangehenden Tutorial habe ich bereits gezeigt, wie man einfache Hosts mit mod_macro verwalten kann: www.cplinux.de/threads/view/einfaches-mass-virtual-hosting-mit-modmacro.html

In der Praxis sind die meisten virtuellen Hosts jedoch sehr viel komplexer. Deshalb habe ich folgendes Macro erstellt:

ServerName $domain
ServerAlias www.$domain

ServerAdmin admin@$domain

DocumentRoot $document_root

php_admin_value open_basedir "/usr/lib/sendmail:/tmp:/usr/share:$open_basedir"

Use Directories $document_root

Use WebmailAlias
Use CgiAlias

Use $auth $auth_user

Use Logs $domain

ACHTUNG!

Die IP im VirtualHost-Tag muß durch die IP-Adresse des Servers ersetzt werden!

Ok, hier ist die Use-Anweisung in der vhosts.conf mit 5 Parametern schon etwas umfangreicher.

Zusätzlich werden hier die open_basedir-Pfade und Informationen für eine eventuelle HTTP-Authentifizierung mit übergeben.

Über die open_basedir-Restriktion definiert man, auf welche Pfade die Domain zugreifen darf. Skripte von Vhost A dürfen nicht unbedingt auf Skripte von VHost B zugreifen.

Einige Domains oder Sub-Domains dienen unter Umständen nur administrativen Zwecken und sollten deshalb nicht öffentlich zugänglich sein. Deshalb habe ich hier noch entsprechend 2 Parameter hinzugefügt.

Der erste Parameter definiert den Makro-Namen, der zweite den User, der Zugriff haben soll.

Wie man an dem Beispiel oben sieht, kann man die Makros auch verschachteln. Die untergeordneten Macros könnten also z.B. so aussehen:

      Options -Indexes -MultiViews FollowSymLinks
      AllowOverride All
      Order allow,deny
      allow from all

     Alias /webmail "/var/www/webmail"

     Options -Indexes -MultiViews FollowSymLinks
     AllowOverride All

     ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

     AllowOverride None
     Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
     Order deny,allow
     deny from all
     allow from localhost
     allow from 85.214.80.11 #muss entspr. ersetzt werden

     AuthName "Restricted area"
     AuthType Basic
     AuthUserFile /var/www/vhosts/.htpasswd
     require $htuser

     #No HTTP AUTH for this vhost

ErrorLog /var/log/apache2/$domain-error.log
CustomLog /var/log/apache2/$domain-access.log combined

Dabei sollte man auch nicht die vorherige NameVirtualHost-Anweisung vergessen:

NameVirtualHost 123.123.123.123:80

Diese Anweisung könnte man vor die nachfolgenden Anweisungen platzieren.

Damit sieht eine Beispiel-Liste für die vhosts.conf dann so aus:

Use VHost example1.net /var/www/vhosts/example1.net /var/www/vhosts/example1.net:/tmp:/usr/share/php NoAuth NoUser
Use VHost example2.net /var/www/vhosts/example2.net /var/www/vhosts/example2.net:/tmp:/usr/share/php Auth Administrator
Use VHost example3.net /var/www/vhosts/example3.net /var/www/vhosts/example3.net:/tmp:/usr/share/php NoAuth NoUser

D.h. wir verwenden das Macro VHost und übergeben der Reihe nach den Domain-Namen, den Document Root, den Open-Basedir-Pfad (getrennt immer durch einen Doppelpunkt) und die beiden Parameter für die HTTP-Authentifizierung.

Zur HTTP-Authentifierung:

Da es hier keine if-else-Anweisungen o.ä. gibt, habe ich 2 Macros erstellt, einmal mit und einmal ohne HTTP-Auth. D.h. man übergibt entweder Auth gefolgt von dem Benutzernamen oder einfach NoAuth NoUser, wenn es keine gibt.

Damit sollte sich nun schon einiges anstellen lassen.

Bitte immer daran denken, dass die Änderungen erst nach einem

/etc/init.d/apache2 reload

wirksam werden. :)

Einfaches Mass Virtual Hosting mit mod_macro

Sat, 25 Apr 2009 13:16:15 +0200

mass,vhost,mod_macro,macro,virtual,host

Angenommen, man hat ser viele Virtual Hosts. Dann hat man in der Webserver-Konfiguration meist sehr viele Dateien (z.B. bei Debian in /etc/apache2/sites-available) oder eine riesige Datei, die alle Vhosts enthält.

Zum Einen verliert man hier sehr leicht die Übersicht, zum Anderen gibt es pro Vhost immer wiederkehrende Muster.

Das Apache-Modul mod_macro bietet hier eine einfache Möglichkeit, die VHost-Konfiguration zu vereinfachen.

Installiert wird das Modul auf einem Debian-System einfach mit

apt-get install libapache2-mod-macro

Um das Modul auf einem Debian-System zu aktivieren, muß ein symbolischer Link angelegt werden:

cd /etc/apache2/mods-enabled

ln -s ../mods-available/macro.load macro.load

Hier ist ein einfaches Bsp., wie ein Macro aussehen könnte:

ServerName $domain
ServerAlias www.$domain
ServerAdmin admin@$domain
DocumentRoot $document_root

ErrorLog /var/log/apache2/$domain-error.log
CustomLog /var/log/apache2/$domain-access.log combined

Ich habe dieses Macro ini /etc/apache2/vhosts_macros.conf gespeichert.

ACHTUNG!

Die IP im VirtualHost-Tag muß durch die IP-Adresse des Servers ersetzt werden!

Dabei sollte man auch nicht die vorherige NameVirtualHost-Anweisung vergessen:

NameVirtualHost 123.123.123.123:80

Diese Anweisung könnte man vor die nachfolgenden Anweisungen platzieren.

Mit folgenden Zeilen kann man nun entsprechende VirtualHosts deklarieren:

Use VHost example1.net /var/www/vhosts/example1.net

Use VHost example3.net /var/www/vhosts/example2.net

Use VHost example4.net /var/www/vhosts/example3.net

Use VHost example4.net /var/www/vhosts/example4.net

Der Use-Befehl leitet das Macro ein, gefolgt von dem Namen des Macros, in diesem Fall VHost.

Danach kommen die Domain und der Document Root.

Diese Use-Anweisungen habe ich in der Datei /etc/apache2/vhosts.conf gespeichert.

D.h. es werden hier 4 virtuelle Hosts angelegt:

Servername	ServerAlias	ServerAdmin	Document Root
example1.net	www.example1.net	admin@example1.net	/var/www/vhosts/example1.net
example2.net	www.example2.net	admin@example2.net	/var/www/vhosts/example2.net
example3.net	www.example3.net	admin@example3.net	/var/www/vhosts/example3.net
example4.net	www.example4.net	admin@example4.net	/var/www/vhosts/example4.net

Die Log-Files gibt es entsprechend auch pro Domain: /var/log/apache2/example1-access.log u.s.w.

Damit die Dateien vhosts.conf und vhosts_macros.conf eingebunden werden, ersetzt man die Zeile

Include /etc/apache2/sites-enabled/

In der Datei /etc/apache2/apache2.conf durch:

Include /etc/apache2/vhosts_macros.conf

Include /etc/apache2/vhosts.conf

Jetzt fehlt nur noch ein

/etc/init.d/apache2 restart

damit die Änderungen wirksam werden.

Um neue Vhosts anzulegen, genügt es jetzt, einen Eintrag in der Datei vhosts.conf anzulegen und ein

/etc/init.d/apache2 restart

durchzuführen.

ISO BIN IMG NRG MDF Images mounten mit Furius ISO Mount

Sun, 09 Nov 2008 13:35:19 +0100

furious,furius,iso,mount,bin,img,nrg,mdf,images,mount

In diesem Artikel möchte ich kurz zeigen, wie man Images in gängigen Formaten (.iso, .bin, .img, .img, .nrg, .mdf) sehr einfach ins lokale Dateisystem einhängen kann.

Dazu verwenden wir das Tool Furius ISO Mount.

Das Tool benötigt folgende Pakete: fuseiso, mono-runtime, libgtk2.0-cil, libmono-system2.0-cil, gksu

In diesem Beispiel habe ich das Tool auf einem Ubuntu-System installiert:

Ein einfaches apt-get install fuseiso sollte auf einem Ubuntu-Desktop genügen, um die Abhängigkeiten zu erfüllen.

Jetzt geht es an die Installation von Furius Iso Mount.

Dazu kann man die folgenden .deb-Pakete verwenden:

32Bit: www.cschramm.net/assets/linux/51/furiusisomount_0.9.0.2-1_i386.deb

64Bit: www.cschramm.net/assets/linux/51/furiusisomount_0.9.0.2-1_amd64.deb

Die .deb-Pakete kann man auf dem Ubuntu-Desktop über einen Doppelklick mit Hilfe des Paketverwaltungstools Synaptic installieren oder über die Konsole:

dpkg -i furiusisomount_0.9.0.2-1_i386.deb

oder

dpkg -i furiusisomount_0.9.0.2-1_amd64.deb

UPDATE

Seit dem Zeitpunkt als dieser Artikel verfasst wurde, gibt es wieder eine neuere Version:

www.cschramm.net/assets/linux/51/furiusisomount_0.11.1.1-1_i386.deb
www.cschramm.net/assets/linux/51/furiusisomount_0.11.1.1-1_amd64.deb

Alternativ kann man sich die Installationsdateien hier herunterladen:

launchpad.net/furiusisomount/+download

Nachdem das Tool installiert wurde kann man es mit furiusisomount aus der Konsole heraus starten (es empfiehlt sich, einen "benutzerdefinierten Anwendungsstarter" im Panel anzulegen).

Jetzt muß nur noch das Image ausgewählt werden, dass dann über die Schaltfläche "Einbinden" ins Dateisystem gemountet wird.

Das eingebundene Image erscheint im unteren Bereich in Form einer Liste. Dort können die Images dann ausgewählt und ggf. wieder aus dem Dateisystem ausgehangen werden.

mysql Datendateien sichern mit mysqlhotcopy

Mon, 20 Oct 2008 11:43:56 +0200

mysqlhotcopy,mysql,hotcopy,datadir,data,mysqlbackup,backup

Mit Hilfe des Tools mysqlhotcopy kann man eine Kopie der Datendateien einer Datenbank anlegen, ohne den mySQL-Server herunterfahren zu müssen.

mysqlhotcopy ist ein Perl-Script, das mit dem mySQL-Server automatisch mit installiert wird.

Mit dem folgenden Befehl sichert man z.B. die Datenbank test1 in das Verzeichnis /mysql-backup.

root und rootpass müssen dabei natürlich auch entsprechend ersetzt werden.

mysqlhotcopy --user=root --password=rootpass test1 /mysql-backup

Damit wird in /mysql-backup ein Verzeichnis mit dem Namen test1 angelegt, dass die Datendateien enthält.

Möchte man erst einmal einen Test-Lauf starten, ohne den Kopiervorgang wirklich durchzuführen, fügt man dem Befehl einfach die Option --dryrun hinzu.

Eine Übersicht aller Optionen erhält man mit mysqlhotcopy --help oder perldoc /usr/bin/mysqlhotcopy.

Datenbank-Backups mit mysqldump anlegen

Mon, 20 Oct 2008 11:43:30 +0200

mysqldump,mysql,backup,databases,user,password,dump,sql

Hier möchte ich kurz zeigen, wie man auf einfache Art und Weise eine mySQL-Datenbank sichern kann.

Erst einmal legen wir mit Hilfe von mysqldump ein Backup der kompletten Datenbank an, d.h. die .sql-Datei enthält eine Sicherung aller Datenbanken inkl. Struktur und Daten.

Ich erstelle die Backups in meinem Beispiel im Ordner /backup. Den Ordner kann man ggf. ersetzen.

Gleiches gilt natürlich für den Benutzer root und das Passwort rootpass.

Abschließend kann man die .sql-Datei z.B. mit gzip komprimieren, um Speicherplatz zu sparen.

Die Datei kann dann später wieder mit gzip -d dateiname.sql.gz entpackt werden.

mysqldump --user=root --password=rootpass --all-databases > /backup/complete-backup.sql

gzip /backup/*.sql

Jetzt kann es aber sein, dass man eher Einzelbackups seiner Datenbanken haben möchte. Dazu habe ich ein einfaches Bash-Script erstellt:

for i in `mysql --user=root --password=rootpass -e "show databases"`
do
if [ $i != "Database" ] && [ $i != "information_schema" ] && [ $i != "test" ]; then
mysqldump --user=root --password=rootpass --databases $i > /backup/$i.sql
fi
done
gzip /backup/*.sql

Es legt pro Datenbank eine .sql-Datei mit dessen Namen an, ignoriert dabei die Tabellen information_schema und test.

Das Script kann man z.B. als Cron-Job für eine nächtliche Sicherung verwenden.

Inkrementelle Backups mit rsnapshot

Sun, 19 Oct 2008 16:03:31 +0200

rsnapshot,rsync,inkrementell,backup,ssh,sync,snapshot,sicherung,weekly,daily,hourly,monthly

Ich werde hier zeigen, wie man automatische Backups für einen Server, eine Workstation oder auch einen Linux-PC zu Hause konfigurieren kann.

Wichtig!

rsnapshot erstellt nicht jedes Mal ein Komplett-Backup, sondern legt sogen. inkrementelle Backups an.

Dabei verwendet rsnapshot "hard links". Das spart Speicherplatz und schont die Ressourcen.

Es werden Archiv-Verzeichnisse angelegt (z.B. weekly.0, weekly.1, etc.), die im vorgegebenen Rhythmus rotieren.

Die nötigen Pakete installiert man auf Debian mit: apt-get install rsync rsnapshot

Auf Gentoo-Systemen z.B. läßt sich das Paket mit emerge -av rsnapshot installieren.

Nachdem rsnapshot installiert ist, geht es darum die Konfigurationsdatei zu bearbeiten: /etc/rsnapshot.conf

###############################
# rsnapshot.conf
###############################

# Alle Backups werden unterhalb von diesem Pfad gespeichert
snapshot_root    /media/backup/

# Bei einem Backup auf eine externes Medium wie eine USB-Festplatte sollte dieser Paramater
# aktiviert sein, da rsnapshot ansonsten den Pfad (bzw. Mount-Point) automatisch neu anlegt
no_create_root    1

# Externe Programme, die Standardwerte sind normalerweise ok
cmd_cp        /bin/cp
cmd_rm        /bin/rm
cmd_rsync    /usr/bin/rsync
cmd_ssh        /usr/bin/ssh
cmd_logger    /usr/bin/logger
cmd_du        /usr/bin/du
cmd_rsnapshot_diff    /usr/bin/rsnapshot-diff

# Die Backup-Intervalle kann man hier festlegen. Wie viele Backups will man für den Zeitraum
# rückwirkend erhalten? In diesem Beispiel behalten wir die letzten 8 Backups, die wöchentl.
# angefertigt werden.
interval    weekly    8

# Andere Beispiele:
# interval    monthly    2
# interval    hourly    6
# interval    daily    7

# Mehr oder weniger Details ausgeben? Mögliche Werte sind 1 - 5.
# Dabei ist 1 der kleinste und 5 der höchste Wert. 2 ist Standard.
verbose        2

# Analog zu verbose, allerdings betrifft das effektiv nur den Output in die Log-Datei
loglevel    3

# Hier legen wir eine Log-Datei fest
logfile        /var/log/rsnapshot.log

# Damit nicht mehrere Instanzen gleichzeitig gestartet werden, wird ein Lock-File erstellt.
lockfile    /var/run/rsnapshot.pid

# Hier kann man optional noch bestimmte Dateien/Verzeichnisse ausschließen oder das
# Backup auf bestimmte Dateien begrenzen. Z.B. lost+found-Verzeichnisse könnte man als
# exclude eintragen.
#include    ???
#exclude    ???
#include_file    /path/to/include/file
#exclude_file    /path/to/exclude/file

###############################
### BACKUPS
###############################

# LOCALHOST
backup    /home/        localhost/
backup    /etc/        localhost/
backup    /usr/local/    localhost/

# EXAMPLE.COM
backup    root@example.com:/home/    example.com/
backup    root@example.com:/etc/    example.com/

Die o.a. Datei ist gedacht für ein wöchentliches Backup.

Wichtig ist der Bereich ganz unten, die Zeilen die mit backup beginnen. Dabei kommt zuerst das Commando backup, dann das Quell- und abschließend das Ziel-Unterverzeichnis (relativ zum snapshot_root).

ACHTUNG! Die Werte hier sind durch Tabs getrennt, keine Leerzeichen.

Wie man sieht, kann man nicht nur lokale Verzeichnisse sichern, sondern auch Verzeichnisse anderer Rechner im LAN oder auch Verzeichnisse eines entfernten Servers sichern.

Dazu verbindet sich rsnapshot via SSH. Wie man eine Verbindung ohne Passworteingabe zu konfiguriert, habe ich hier näher beschrieben:

www.cplinux.de/threads/view/ssh-zugriff-ohne-anmeldung.html

In meinem Beispiel habe ich die Backups auf eine externe USB-Festplatte gesichert, die in /media/backup ins Dateisystem gemountet ist.

Damit ich nun das Backup sehr bequem starten kann, habe ich noch folgendes, kleines Shell-Skript angelegt:

#!/bin/bash

MOUNTED=`grep -c "/media/backup" /proc/mounts`

if [ $MOUNTED -gt 0 ];then
rsnapshot -v -c /etc/rsnapshot.conf weekly
else
echo "/media/backup is not mounted! Cannot start backup!";
fi

Da z.B. Ubuntu und Debian das Laufwerk automatisch mounten, habe ich hier auf eine entspr. Anweisung im Script verzichtet.

Einen entspr. Befehl könnte man aber in Zeile 2 noch einfügen, z.B. mount /dev/sdh1 /media/backup

Bitte unbedingt beim Kopieren des Skripts auf die Einhaltung der Leerzeichen achten!

So, jetzt kann man das Backup prinzipiell starten.

Entweder führt man dazu das o.a. Shell-Script aus oder man startet es durch den Befehl:

rsnapshot -v -c /etc/rsnapshot.conf weekly

Das Intervall weekly muß man ggf. (je nach Konfigurationsdatei) durch daily, hourly, etc. ersetzen.

Remote Verzeichnisse per SSHFS mounten

Sat, 27 Sep 2008 08:48:26 +0200

So kann man auf einem Debian-System Verzeichnisse anderer Server, zu denen man SSH-Zugriff hat, in das lokale Dateisystem einhängen.

Erst muß das erforderliche Paket installiert werden:

apt-get install sshfs

Ok, wenn das Paket installiert ist, muß nun das Kernel-Modul aktiviert werden:

modprobe fuse

Jetzt erstellen wir einen Mount-Point, z.B.:

mkdir /mnt/sshfs_dir

Jetzt hängen wir das Verzeichnis noch ein:

sshfs user@192.168.2.20:/home/user /mnt/sshfs_dir

Der Beispiel-Befehl hängt das Verzeichnis /home/user des Servers/PCs 192.168.2.20 in das lokale Dateisystem /mnt/sshfs_dir ein. Als Benutzername für 192.168.2.20 wird user verwendet.

Die am häufigsten benötigten Optionen:

Mit der Option -p 222 kann man statt dem Standard-Port 22 einen anderen verwenden
Mit der Option -o kann man für das gemountete Verzeichnis u.a. eine umask (z.B. umask=0777), eine User-ID (uid=501), eine Gruppen-ID (gid=1000) und vieles mehr setzen.

Ein komplettes Beispiel:

sshfs user@192.168.2.20:/home/user /mnt/sshfs_dir -p 2244 -o umask=0775,uid=1001,gid=1000

Für eine Liste aller Optionen, siehe sshfs --help

Wenn man auf die Eingabe des Passworts beim Einhängen verzichten will, empfiehlt es sich, so vorzugehen:

www.cplinux.de/threads/view/ssh-zugriff-ohne-anmeldung.html

That's it.

XEN-Installation auf CentOS 5.2

Sun, 14 Sep 2008 11:22:40 +0200

Betriebssysteminstallation:

Während der Installation muß in Anaconda der Punkt Virtualisierung ausgewählt werden. Dadurch werden automatisch der XEN-Kernel und die entsprechenden Tools installiert.

XEN nachinstallieren:

Als root kann man die Pakete mit yum install xen-kernel xen nachinstallieren.

Danach muß ein reboot durchgeführt werden, um den neuen Kernel zu booten.
Bei den aktuellen Versionen von CentOS ist kein manuelles Eingreifen in den Bootloader notwendig.

Ein uname -a nach dem Reboot sollte den XEN-Kernel zeigen.

Soweit so gut, jetzt geht es daran, ein erstes Image anzulegen. Als Betriebsystem nehme ich als Beispiel ebenfalls CentOS. Mit dem Befehl virt-install startet man die Installation.

What is the name of your virtual machine? xen01
How much RAM should be allocated (in megabytes)? 256
What would you like to use as the disk (path)? /xen/xen01.img
How large would you like the disk (/xen/xen01.img) to be (in gigabytes)? 10
Would you like to enable graphics support? (yes or no) no
What is the install location? ftp://ftp.tu-chemnitz.de/pub/linux/centos/5.2/os/i386

oder http://mirror.centos.org/centos/5.2/os/i386

Anmerkung:

Möchte man z.B. Debian, Ubuntu oder eine andere Distribution als Gast mit Hilfe eines ISO/CD-Images installieren kann man das tun, indem man virt-install die entsprechende Option direkt mitgibt.

Eine Liste aller Optionen kann man mit virt-install --help einsehen.

Danach beginnt dann die Installation.

Während der Installation sind noch wie bei der eigentlichen CentOS-Installation auch die Partitionen und das Netzwerk einzurichten, Pakete auszuwählen, etc.

Nach der Installation sollte sich eine Konfigurationsdatei mit allen wichtigen Angaben in /etc/xen/ befinden.

Der Dateiname orientiert sich am Namen des Images: xen01

Jetzt noch einige Befehle:

xm list zeigt eine Liste aller verfügbaren Images.
xm create -c /etc/xen/xen01 startet das Image.
xm shutdown xen01 beendet das Image.
xm destroy xen01 beendet das Image direkt, ohne das OS herunterzufahren.
xm console xen01 ermöglicht es, sich auf der Konsole des Gastes einzuloggen.
xm help zeigt eine Übersicht aller verfügbaren Befehle.

Möchte man ein oder mehrere Images beim Systemstart automatisch hochfahren, muß man einen Symlink auf die Konfigurationsdatei im Verzeichnis /etc/xen/auto erstellen:

mkdir /etc/xen/auto

ln -s /etc/xen/xen01 /etc/xen/auto/xen01

That's it.

STARTTLS auf Funktion testen

Fri, 12 Sep 2008 07:08:46 +0200

Man kann sehr leicht prüfen, ob STARTTLS funktioniert. Dazu verwendet man den folgenden Befehl:

stunnel -D 7 -n smtp -f -c -r ip_oder_name_des_mailservers:25

Die Optionen im Detail:

D 7 Je höher der Wert, desto mehr Informationen bekommt man und umgekehrt. D steht für Debug Level.
n smtp gibt das zu verwendende Protokoll an
f bedeutet, dass der Prozess im Vordergrund läuft, also direkt von der Commandline
c aktiviert den Client Mode (mit SSL auf Remote-Seite)
r ip_oder_name_des_mailservers:25 gibt stunnel an, auf welchen Server und über welchen Port sich das Tool verbinden soll.

Screenshots auf der Konsole mit kwebdesktop

Thu, 04 Sep 2008 11:41:13 +0200

kwebdesktop,screenshot,web,linux,console,vnc,server

Für Suchmaschinen, Webverzeichnisse oder andere Webseiten ist es wünschenswert, für die gelisteten Seiten Screenshots zu haben.

Screenshots lassen sich mit Linux automatisiert erstellen, ohne gleich den kompletten Desktop zu installieren.

Zuerst installiert man die benötigten Pakete, in Debian Etch:

apt-get install vncserver kdesktop xfonts-base xfonts-100dpi xfonts-75dpi xfonts-intl-european xfonts-scalable xfonts-terminus xfonts-terminus-dos

In Debian Lenny genügt ein apt-get install vnc4server

Das Paket kdesktop enthält das Tool kwebdesktop, das für die Erstellung der Screenshots verwendet wird.

Damit man nicht den kompletten Desktop installieren muß, nehmen wir hier einfach einen VNC-Server zu Hilfe.

Nach Installation der Pakete und deren Abhängigkeiten geht es jetzt daran, den VNC-Server zu starten.

Bei der Installation auf Debian Etch ist mir aufgefallen, dass in der Datei /usr/bin/vncserver einige Font-Verzeichnisse angegeben sind, die auf meinem Test-System nicht existierten.

Die entsprechende Passage im Source-Code muß man ggf. anpassen:

if (!$fontPath) {
    $fontPath = "usr/share/fonts/X11/misc/,".
                       "usr/share/fonts/X11/Type1/,".
                       "usr/share/fonts/X11/75dpi/,".
                       "usr/share/fonts/X11/100dpi/,"
}

Mit dem nachfolgenden Befehl starten wir jetzt den VNC-Server. Den ersten Aufruf sollte man manuell ausführen, da nach einem Passwort gefragt wird.

vncserver :1 -geometry 1024x768 -depth 24

In Debian Lenny ist das ensprechend: vnc4server :1 -geometry 1024x768 -depth 24

1024x768 ist dabei die Auflösung (HöhexBreite in px) und 24 die Farbtiefe (24Bit).

Es empfiehlt sich, falls die Maschine von anderen Maschinen erreichbar ist, eine Firewall-Regel einzurichten. Der VNC-Server benutzt die Ports 5901/tcp und 5801/tcp.

Läuft der VNC-Server, kann man mit dem folgenden Befehl einen Screenshot erstellen:

kwebdesktop --display :1 1024 768 cplinux.png http://www.cplinux.de

Wie man schon vermutet, ist 1024 in diesem Fall die Breite und 768 die Höhe des Screenshots.

Die Display-Option ist wichtig, damit kwebdesktop den VNC-Screen verwendet.

Das entstandene png kann man z.B. wie hier beschrieben bearbeiten.

Jetzt sollte es ein Leichtes sein, das Ganze mit Hilfe eines PHP-, Perl- oder Bash-Scriptes zu automatisieren.

SSH-Zugriffe verhindern per hosts.deny

Sat, 16 Aug 2008 11:30:32 +0200

Mit Hilfe der beiden Dateien /etc/hosts.allow und /etc/hosts.deny ist es möglich, sehr leicht und ohne Neustart irgendwelcher Dienste Verbindungen - z.B. zu SSH - zu blockieren oder explizit zu erlauben.

Die Zeilen werden eingeleitet mit ALL: (alle Anfragen) oder ALL EXCEPT (alle Anfragen außer).

Im nachfolgenden Beispiel werden alle Anfragen von 123.123.123.123, dem Bereich 124.124.124. und alle Anfragen der Domain example.net geblockt.

/etc/hosts.deny

ALL: 123.123.123.123 124.124.124. example.net

Genauso wie mit der ALL-Anweisung läßt sich eine Ausnahmeregelung mit ALL EXCEPT realisieren:

/etc/hosts.allow

ALL EXCEPT 123.123.123.123 124.124.124. example.net

In die Datei hosts.deny trägt man also IP-Adressen, Hostnamen oder Domains ein, die man blocken möchte.

In der Datei hosts.allow kann man Verbindungen explizit zulassen.

Es gibt nun auch die Möglichkeit, Traffic generell zu blocken und Verbindungen nur für eine oder einige Hosts zuzulassen:

/etc/hosts.deny

ALL EXCEPT 123.123.123.123

Jetzt werden alle Verbindungen geblockt, außer von 123.123.123.123.

Das ist z.B. sinnvoll, wenn die Verbindungen immer von einer statischen IP-Adresse oder einen bestimmten Bereich aus erfolgen.

Bitte unbedingt beachten, dass alle Änderungen sofort wirksam sind!

Postfix Content-Filter mit Spamassassin

Sat, 16 Aug 2008 11:28:51 +0200

Hier werde ich erklären, wie man in wenigen Schritten einen einfachen Content-Filter mit Spamassassin in den Postfix-SMTP-Server integrieren kann.

Zuerst legen wir einen neuen Benutzer an, unter dem der Filter laufen soll, in diesem Fall simpel filter:

groupadd -g 5002 filter
useradd -u 5002 -g 5002 -d /home/filter -s /bin/false filter

mkdir /home/filter/tempfs

chown filter:filter /home/filter/tempfs

Natürlich sollte spamassassin auf dem Server installiert sein. Unter Debian installiert man ih mit:

apt-get install spamassassin spamc

Nach der Installation muß man noch in der Datei /etc/default/spamassassin den Parameter ENABLED=1 setzen und den Dienst mit /etc/init.d/spamassassin restart neu starten.

Jetzt wird das eigentliche Skript erstellt: /home/filter/spamchk

#!/bin/sh

SENDMAIL="/usr/sbin/sendmail -i"
EGREP=/bin/egrep
EX_UNAVAILABLE=69

# (SPAMLIMIT 5.5 = "*****" )
SPAMLIMIT=7

# Aufräumen im Fehlerfall oder bei Abbruch
trap "rm -f /home/filter/tempfs/out.$$" 0 1 2 3 15

# Via Pipe wird die Mail an spamc übergeben
cat | /usr/bin/spamc -u filter > /home/filter/tempfs/out.$$

# Spamlimit checken
if $EGREP -q "^X-Spam-Level: *{$SPAMLIMIT,}" < /home/filter/tempfs/out.$$
then
# Lernvorgang f. SPAM
/usr/bin/sa-learn -u filter --spam /home/filter/tempfs/out.$$
# Alternativ kann man hier auch die Nachricht löschen

# rm -f /home/filter/tempfs/out.$$
# oder beliebige andere Aktionen durchführen.
else
# Lernvorgang f. HAM
/usr/bin/sa-learn -u filter --ham /home/filter/tempfs/out.$$
# Alternativ kann man die sendmail-Anweisung (siehe unten) hier her
# kopieren und nur zustellen, wenn sie nicht als Spam erkannt wurde.
fi

# Sende E-Mail in jedem Fall an Empfänger.
# Wenn der E-Mail-Client so konfiguriert ist, dass er die Kopfzeilen von
# Spamassassin erkennt, wird er die E-Mail in den Junk-Ordner verschieben,
# wenn sie als Spam eingestuft wurde.
$SENDMAIL "$@" < /home/filter/tempfs/out.$$

# Temporäre Datei wieder löschen
rm -f /home/filter/tempfs/out.$$

# Jetzt noch den sendmail exit status zurückgeben
exit $?

Jetzt muß noch die Postfix-Konfiguration angepasst werden, und zwar in der Datei /etc/postfix/master.cf.

Weiter unten in der Datei trägt man den neuen Dienst ein:

spamchk unix - n n - 10 pipe
flags=Rq user=filter argv=/home/filter/spamchk -f ${sender} -- ${recipient}

Jetzt modifiziert man den Dienst SMTP, damit er das Skript benutzt:

smtp inet n - n - - smtpd
-o content_filter=spamchk:dummy

So, jetzt noch Postfix neu starten: /etc/init.d/postfix restart

Noch eine Anmerkung: Hat man seinen E-Mail-Client, so konfiguriert, dass er Spamassassin-Header erkennt, genügt auch schon folgendes Skript:

#!/bin/sh

SENDMAIL="/usr/sbin/sendmail -i"
EGREP=/bin/egrep
EX_UNAVAILABLE=69
SPAMLIMIT=7

# Aufräumen im Fehlerfall oder bei Abbruch
trap "rm -f /home/filter/tempfs/out.$$" 0 1 2 3 15

# Via Pipe wird die Mail an spamc übergeben
cat | /usr/bin/spamc -u filter > /home/filter/tempfs/out.$$

# Sende E-Mail in jedem Fall an Empfänger.
$SENDMAIL "$@" < /home/filter/tempfs/out.$$

# Temporäre Datei wieder löschen
rm -f /home/filter/tempfs/out.$$

# Jetzt noch den sendmail exit status zurückgeben
exit $?

Die Einstellungen in Thunderbird findet man unter Bearbeiten -> Konten -> Junk-Filter -> "Junk-Kopfzeilen dieses externen Filters vertrauen".

Damit kommen die Mails zwar an, werden aber aussortiert.

Es empfiehlt sich in diesem Fall, in der Datei /etc/spamassassin/local.cf oder in /home/filter/.spamassassin/user_prefs die Option bayes_auto_learn 1 zu setzen.

Dateien und Verzeichnisse suchen mit dem Linux-Tool find

Sat, 16 Aug 2008 11:26:49 +0200

Das Tool find ist normalerweise in jeder gängigen Linux-Distribution enthalten.

Hier sind einige Befehle, die bei der täglichen Arbeit und beim Auffinden von Dateien sehr hilfreich sein können:

find /home -name "test.txt" -type f

Dieser Befehl sucht nach allen Dateien mit dem Namen test.txt unterhalb von /home.

Die Option -type f (file) bewirkt hier, dass nur nach Dateien gesucht wird.

find /home -name "testdir" -type d

Dieser Befehl sucht nach allen Verzeichnissen mit dem Namen testdir unterhalb von /home.

Die Option -type d (directory) bewirkt hier, dass nur nach Verzeichnissen gesucht wird.

find /home -name "test" -type l

Dieser Befehl sucht nach allen Links (symbolische Links, hard links) mit dem Namen test unterhalb von /home.

Die Option -type l (link) bewirkt hier, dass nur nach eben diesen Links gesucht wird.

find /home -name "testdir" -type d -exec rm -rf {}\;

Findet alle Verzeichnisse mit dem Namen testdir unterhalb von /home und löscht sie.

Dass das Verzeichnis gelöscht wird, erreicht man durch die Option -exec. Statt rm -rf könnte man auch beliebige andere Befehle einfügen.

Die beiden Klammern sind dabei der Platzhalter für das Ergebnis der Suche.

Eine Liste aller Optionen bekommt man mit

find --help

bzw.

man find

Bilder mit Imagemagick bearbeiten

Sat, 16 Aug 2008 11:25:30 +0200

Das Paket Imagemagick bringt unter Linux ein das Programm convert mit, dass sich normalerweise in /usr/bin befindet.

Auf Debian-basierenden Systemen läßt es sich mit apt-get install imagemagick installieren.

Auf einem Gentoo-System mit emerge imagemagick, auf CentOS mit yum install imagemagick.

Mit Hilfe dieses Tools, lassen sich über die Konsole schnell und einfach Bilder konvertieren, Thumbnails generieren und bearbeiten.

Einige Beispiele:

Aus allen jpg-Bildern eines Ordners 120px große Thumbnails generieren:

mkdir thumbs

for i in `ls *.jpg`

convert -thumbnail 120 $i thumbs/$i

done

Alternativ kann man die Option resize verwenden, um die Bildgröße zu ändern:

convert -resize 640x480 $i thumbs/$i

Dabei ist 640 die Breite und 480 die Höhe in Pixeln. Man kann stattdessen auch 640x oder x480 mitgeben, um nur eine Seite mit fester Länge zu haben.

Prinzipiell kann man alle Befehle so auf der Konsole eintippen - Zeile für Zeile - oder sie in ein Shell-Skript umwandeln.

Shell-Skripte auf der Bash beginnen in der 1. Zeile mit #!/bin/bash und haben i.d.R. die Dateiendung .sh.

Um also z.B. aus allen Bildern eines Verzeichnisses, dass man als Parameter übergibt, Thumbnails zu generieren, könnte man ein Skript wie folgt aufbauen:

#!/bin/bash

cd $1

mkdir thumbs

for i in `ls *.jpg`

convert -thumbnail 120 $i thumbs/$i

done

Das Skript kann man nun z.B. als convImages.sh abspeichern und mit

sh convImages.sh /home/user/bilder

aufrufen, um aus allen Bildern dort Thumbnails zu generieren.

Jetzt kann man mit convert aber nicht nur die Größe von Bildern ändern.

Man kann auch das Format ändern, einfach durch Eingabe von:

convert bild.png bild.jpg

Der Befehl konvertiert das Bild von png nach jpg.

Möchte man Bilder drehen, geht das mit der Option rotate:

convert -rotate "+90" bild.jpg bild_rotiert.jpg

Dabei wird das Bild, wie man schon vermuten kann um 90Grad gedreht.

Das + bewirkt eine Drehung im Uhrzeigersinn, ein - eine Drehung gegen den Uhrzeigersinn.

Damit lassen sich kleine Bildsammlungen relativ schnell und komfortabel in das gewünschte Format konvertieren, drehen oder verkleinern.

VSERVER VirtualBox: Guest-Ports auf dem Host bereitstellen

Fri, 02 May 2008 12:59:07 +0200

Wenn man einfach nur einen Guest-Port aus einem Image auf dem Host bereitstellen will, kann man das mit folgenden Befehlen bewältigen. In dem Beispiel habe ich den SSH-Port aus dem Image VBOX01 auf dem Host bereitgestellt.

VBoxManage setextradata VBOX01 "VBoxInternal/Devices/pcnet/0/LUN#0/Config/ssh/HostPort" 2222
VBoxManage setextradata VBOX01 "VBoxInternal/Devices/pcnet/0/LUN#0/Config/ssh/GuestPort" 22
VBoxManage setextradata VBOX01 "VBoxInternal/Devices/pcnet/0/LUN#0/Config/ssh/UDP" 0

Bitte aber dabei beachten, dass das Image vorher beendet und danach neu gestartet werden muß:

VBoxManage controlvm "VBOX01" poweroff

....

VBoxManage startvm "VBOX01" -type vrdp

Jetzt kann man sich via SSH über die IP des Hosts und den Port 2222 auf das Image VBOX01 verbinden.

VSERVER VirtualBox: Netzwerk-Bridge

Fri, 02 May 2008 12:58:49 +0200

So richtet mann schnell und unkompliziert eine Netzwerk-Bridge auf dem Host ein:

1. Zuerst müssen die erforderlichen Pakete installiert werden:

apt-get install bridge-utils

2. Jetzt muss ein neues Interface in der Datei /etc/network/interfaces eingetragen werden:

auto br0

iface br0 inet dhcp

bridge_ports eth0

3. Jetzt das Netzwerk neu starten mit

/etc/init.d/networking restart

4. Jetzt legen wir ein Interface vbox0 für Virtualbox an, dass wir der Bridge zuordnen.

USER muß dabei durch den Benutzer ersetzt werden, unter dem Virtualbox ausgeführt wird.

VBoxAddIF vbox0 USER br0

5. Jetzt ordnen wir noch das neue Interface dem Virtualbox-Image zu.

VBoxManage modifyvm "Name des Virtualbox Images" -hostifdev1 vbox0

Jetzt das Image neu starten!

VirtualBox: Images per Init-Script starten

Fri, 02 May 2008 12:57:48 +0200

Hierzu empfiehlt es sich, ein kleines Shell-Skript zu erstellen. In diesem Beispiel ist das Virtualbox-Verzeichnis /virtualbox und das Tool VBoxManage befindet sich in /usr/bin (Standard).

#!/bin/bash

test -x /usr/bin/VBoxManage || exit 0

for i in `ls /virtualbox/Machines/`

case "$1" in
start)

        echo -n "Starting Virtualbox-Image $i"
        VBoxManage startvm $i -type vrdp
        echo "."
        ;;
stop)
        echo -n "Stopping Virtualbox-Image $i"
        VBoxManage controlvm $i poweroff
        echo "."
        ;;
restart)
        echo -n "Restarting Virtualbox-Image $i"
        VBoxManage controlvm $i poweroff
        VBoxManage startvm $i -type vrdp
        echo "."
        ;;
*)
        echo "Usage: /etc/init.d/vboxctl {start|stop|restart}"
        exit 1
esac

done

exit 0

Das Skript habe ich vboxctl getauft.

Es läßt sich mit den Parametern start, stop und restart aufrufen. Nachdem man es in /etc/init.d/ platziert hat, muß man es nur noch mit dem Befehl update-rc.d für den Systemstart hinzufügen.

So werden die Images beim Start des Servers automatisch gestartet und beim Herunterfahren automatisch beendet.

Festplatte leeren / Daten sicher löschen

Fri, 02 May 2008 11:59:02 +0200

Festplatte,leeren,löschen,dd,if,of,wipe,zero,random,conv,noerror

Wer seine alte Festplatte entsorgt oder verkauft, sollte vorher sicher gehen, dass die alten Daten auch wirklich gelöscht sind. Unter Linux gibt es dazu eine einfache Möglichkeit mit dem Befehl dd.

Der folgende Befehl beschreibt die komplette Festplatte mit Zufallswerten:

dd if=/dev/urandom of=/dev/sdb

Die Laufwerksangabe /dev/sdb muß entsprechend durch das Laufwerk ersetzt werden.

Jetzt kann man die Festplatte noch mit Null-Werten vollschreiben.

dd if=/dev/zero of=/dev/sdb

Da das eine ganze Weile dauern kann, würde ich empfehlen, die Blocksize anzupassen
Dazu hängt man an den befehl einfach bs=2M (2MB) an.

Das sollte den Vorgang etwas beschleunigen.

Jetzt kann es noch vorkommen, dass die Festplatte defekte Sektoren hat.

Normalerweise bricht der Befehl dann ab. Damit das nicht passiert, hängt man an den Befehl den Parameter conv=noerror an.

Anmerkung:

Damit erschwert man es Programmen, Dateien auf der Festplatte wiederherzustellen, macht es aber nicht unmöglich. Dazu müßte man den Vorgang etwa 30-40 Mal wiederholen.

Hier ist ein kleines Shell-Script, das hier Abhilfe schafft:

#!/bin/bash

for i in `seq 1 10`
do
dd if=/dev/zero of=/dev/sda bs=2M conv=noerror
dd if=/dev/urandom of=/dev/sda bs=2M conv=noerror
wipe -T -x 1 -o 2097152 -a | dd of=/dev/sda bs=2M conv=noerror
done

Dazu wird neben dem Tool dd aber auch noch das Tool wipe benötigt (apt-get install wipe).

VSERVER Virtualbox: Windows-Image auf Debian Server

Wed, 27 Feb 2008 00:02:32 +0100

VBoxManage,Virtualbox,Vserver,Virtual,VRDP,createvm,modifyvm,registerimage,createvdi,vrdpport,vrdpaddress,vrdpauthtype

Schnell und einfach ein Windows-Image auf einem Virtualbox-Linux-Server installieren:

1. Zuerst legen wir ein Image an: VBoxManage createvm -name "WinXP" -register

2. Jetzt weisen wir dem Image 512MB RAM zu, aktivern ACPI, konfigurieren das erste Boot-Device als DVD-Laufwerk, damit wir später von der Installations-CD booten können. Die Netzwerkkarte wird auf NAT konfiguriert.

VBoxManage modifyvm "WinXP" -memory "512MB" -acpi on -boot1 dvd -nic1 nat

3. Jetzt legen wir eine virtuelle Disk an, in diesem Fall mit 10GB Speicherplatz.

VBoxManage createvdi -filename "WinXP.vdi" -size 10000 -register

4. Die neue, virtuelle Disk weisen wir jetzt dem VirtualBox-Image zu:

VBoxManage modifyvm "WinXP" -hda "WinXP.vdi"

5. Jetzt registrieren wir das ISO-Image der Installations-CD zur Verwendung mit VirtualBox:

VBoxManage registerimage dvd /full/path/to/iso.iso

Ein neues ISO-Image kann man schnell und einfach mit dd if=/dev/dvd of=/full/path/to/iso.iso anlegen (/dev/dvd und den Pfad muß man entspr. ersetzen).

6. Jetzt weisen wir das neue ISO-Image unserem VirtualBox-Image zu:

VBoxManage modifyvm "WinXP" -dvd /full/path/to/iso.iso

7. Jetzt wird es Zeit, noch ein paar Kleinigkeiten einzustellen:

VBoxManage modifyvm "WinXP" -vrdpport 3389 -vrdpaddress 192.168.96.1 -vrdpauthtype null

vrdpport: Standard ist 3389, bei mehreren Images, braucht man i.d.R. aber auch mehrere Ports

vrdpaddress: IP-Adresse des Servers

vrdpaauthtype: none = keine Authentifizierung, external = PAM (Linux Benutzer)

8. So, das war's. Jetzt wird es Zeit für einen ersten Start:

VBoxVRDP -startvm "WinXP"

oder im Hintergrund via VBoxManage:

VBoxManage startvm "WinXP" -type vrdp

Zum Aushängen der ISO-Datei aus dem Image nach der Installation macht man folgendes:

VBoxManage controlvm "WinXP" poweroff

VBoxManage modifyvm "WinXP" -dvd none

Möchte man die ISO-Datei danach komplett entfernen:

VBoxManage unregisterimage /full/path/to/iso.iso

Per rdesktop unter Linux oder RemoteDesktopClient unter Windows kann man sich jetzt auf das Image verbinden.

VSERVER Virtualbox: Installation Debian

Wed, 27 Feb 2008 00:00:38 +0100

Eine Schnellstart-Anleitung für Debian:

1. wget www.virtualbox.org/debian/innotek.asc

2. apt-key add innotek.asc

3. Jetzt muß in der Datei /etc/apt/sources.list folgende Zeile hinzugefügt werden:

deb http://www.virtualbox.org/debian etch non-free

4. apt-get update

5. apt-get install virtualbox

Alternative Installation mit einem .deb-Package:

Das Paket kann man von www.virtualbox.org/wiki/Downloads (Link Binaries) herunterladen.

apt-get install bcc iasl xsltproc xalan libxalan110-dev uuid-dev zlib1g-dev libidl-dev libsdl1.2-dev libxcursor-dev libqt3-headers libqt3-mt-dev libasound2-dev libstdc++5 linux-headers-`uname -r` build-essential

dpkg -i virtualbox_1.5.6-28266_Debian_etch_i386.deb

Der erste Befehl installiert die von VirtualBox benötigten Pakete, der zweite das eigentl. Paket.

Den Dateinamen muß man dann entspr. der aktuellen Version ersetzen.

Hinweis zu Ubuntu:

Die Open-Source-Version von VirtualBox kann ab der Version 8.04 direkt per Synaptic oder apt-get installiert werden: apt-get install virtualbox-ose

Hinweis zu den Berechtigungen:

Benutzer, die die Berechtigung haben sollen, VirtualBox-Images zu starten und zu administrieren, müssen der Gruppe vboxusers hinzugefügt werden, z.B. usermod -G vboxusers -a root

Virtual VACATION mit Postfix und mySQL

Sat, 19 Jan 2008 15:42:44 +0100

vacation,virtual,postfix,mysql,autoreply,recipient_bcc_maps,mysql_vacation,postfixadmin,Abwesenheit

Im Netz gibt es verschiedene Anleitungen für Auto-Responder.

Einige basieren z.B. auf vacation-Messages, die sich im home-Verzeichnis des jeweiligen Benutzers befinden.

Hier möchte ich eine Konfiguration aufzeigen, die komplett mit mySQL funktioniert.

Ich verwende in meinem Beispiel als Basis diese Konfiguration: www.cplinux.de/postfix-mit-mysql-courier-konfiguration.view.html

Dafür wird das Paket vacation und einige Perl-Pakete benötigt.

apt-get install libemail-mime-encodings-perl libmime-perl libemail-mime-contenttype-perl libmime-types-perl libperl5.8 libdbd-mysql-perl libclass-dbi-mysql-perl libemail-valid-perl libmail-sendmail-perl vacation

Bei Debian Etch hatte ich das Problem, dass die beiden Pakete libmime-charset-perl und libmime-encwords-perl noch nicht verfügbar waren (aktueller Stand: testing). Daher habe ich sie mir von

ftp.debian.org/debian/pool/main/libm/libmime-charset-perl/

und

ftp.debian.org/debian/pool/main/libm/libmime-encwords-perl/

heruntergeladen und per

dpkg -i libmime-encwords-perl_0.040-3_all.deb libmime-charset-perl_0.044-1_all.deb

installiert. Die Version kann abweichen, dann lauten die Dateinamen entspr. anders.

Alternativ:

www.cplinux.de/downloads/libmime-charset-perl_0.044-1_all.deb

www.cplinux.de/downloads/libmime-encwords-perl_0.040-3_all.deb

Zuerst legen wir den vacation-Benutzer und die Gruppe an:

useradd vacation

groupadd vacation

Als nächstes legen wir nun die Tabellen an. Bei einer laufenden Postfix-mySQL-Konfiguration kann man die Tabellen in der gleichen Datenbank ablegen.

CREATE TABLE `vacation` (
`email` varchar(255) NOT NULL default '',
`subject` varchar(255) NOT NULL default '',
`body` text NOT NULL,
`cache` text NOT NULL,
`domain` varchar(255) NOT NULL default '',
`created` datetime NOT NULL default '0000-00-00 00:00:00',
`active` tinyint(4) NOT NULL default '1',
PRIMARY KEY (`email`),
KEY `email` (`email`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 COMMENT='Postfix - Virtual Vacation';

CREATE TABLE `vacation_notification` (
`on_vacation` varchar(255) NOT NULL default '',
`notified` varchar(255) NOT NULL default '',
`notified_at` timestamp NOT NULL default CURRENT_TIMESTAMP
) ENGINE=MyISAM DEFAULT CHARSET=latin1 COMMENT='Postfix - Virtual Vacation Notifications';

Als Grundlage für mein Vorhaben habe ich das postfixadmin-Paket heruntergeladen:

www.cplinux.de/downloads/postfixadmin-2.2.0-RC1.tar.gz

Und die dort enthaltene vacation.pl modifiziert. Hier gibt es die modifizierte Version zum Download:

www.cplinux.de/downloads/vacation.pl

In der Datei vacation.pl müssen nun noch einige Punkte geändert werden. Im Bereich Konfiguration ganz oben müssen der Datenbank-Server, Benutzername und Passwort und der Name der Datenbank angegeben werden.

Das Skript sollte dann nach /var/spool/vacation kopiert werden:

mkdir /var/spool/vacation

cp vacation.pl /var/spool/vacation

chown -R vacation.vacation /var/spool/vacation

Standardmäßig habe ich das Logging aktiviert, die Debugging-Logs aber deaktiviert. Dafür sollte man noch das Verzeichnis anlegen:

mkdir /var/log/vacation

touch /var/log/vacation/vacation.log

touch /var/log/vacation/vacation.debug

chown -R vacation.vacation /var/log/vacation/

Jetzt müssen für die Domains, für die wir die autoreply-Funktion nutzen wollen, in die Transport-Map von Postfix eingetragen werden.

Dabei nehme ich Subdomains in der Form: auto-reply.meinedomain.tld

Als Ziel in der Transport-Map trägt man vacation ein.

Ich verwende in meinem Beispiel diese Konfiguration: www.cplinux.de/postfix-mit-mysql-courier-konfiguration.view.html,

sodaß die Werte nur in der entspr. Tabelle eingetragen werden müssen. That's it.

Damit der Dienst vacation auch in Postfix bekannt ist, muß er in der Datei /etc/postfix/master.cf eingetragen werden:

vacation unix - n n - - pipe
flags=Rhu user=vacation argv=/var/spool/vacation/vacation.pl

Ok, schlußendlich muß nun eine Kopie unserer Mails an den neuen Dienst ge-"pipe"t werden. Findet der Dienst zu der zugehörigen E-Mail-Adresse einen aktiven Eintrag in der Tabelle vacation wird eine Auto-Reply ausgelöst, ansonsten passiert nichts.

Wurde vorher schon eine Auto-Reply an diese Adresse ausgelöst, passiert auch nichts (das speichert vacation in der Tabelle vacation_notification).

Um das zu Realisieren, habe ich mich der recipient_bcc_maps bedient. Das bedeutet, dass eine Blindkopie aller Mails an vacation geleitet wird.

Dazu ist ein Eintrag in der /etc/postfix/main.cf notwendig: recipient_bcc_maps = mysql:/etc/postfix/mysql_vacation.cf

Die Map selbst sieht dann folgendermaßen aus und bedient sich aus der Tabelle user:

user = postfix
password = post
dbname = postfix
table = users
select_field = CONCAT(SUBSTRING_INDEX(email,'@',1),'@auto-reply.',SUBSTRING_INDEX(email,'@',-1))
where_field = email

additional_conditions = and email IN (SELECT email from vacation WHERE active='1')
hosts = localhost

So, jetzt noch Postfix neu starten. Das war's.

Damit jetzt eine Auto-Reply ausgelöst wird, muß es nun nur noch einen aktiven Eintrag in der Tabelle vacation geben!

DNS Load Balancing Konfiguration

Sat, 19 Jan 2008 15:15:45 +0100

Load Balancing,Load,Balancing,DNS,Round Robin, Round, Robin, A-Records,CNAME, Bind

Es gibt verschiedene Arten des Load Balancing's.

Eine Variante wäre ein Software Load Balancer (z.B. ipvsadm), der auf einem extra Server läuft, der zwischen z.B. Webservern und WAN sitzt.

Der Load Balancer steuert in diesem Fall, welche Anfrage zu welchem Server durchgereicht wird.

Das wird aber Thema eines anderen Tutorials sein.

Möchte man auf einen zusätzlichen Server verzichten, gibt es auch die Möglichkeit, den DNS-Server diese Arbeit erledigen zu lassen.

Genau genommen ist das eigentlich kein Load Balancing sondern Load Sharing, da der DNS-Server die "Entscheidung" nicht danach trifft, wie viele Verbindungen bereits bestehen oder wieviel Last der Server hat, sondern im Prinzip rein zufällig.

Das Prinzip:

Statt einem Domainnamen, z.B. www.example.net nur eine IP-Adresse zuzuordnen, werden dem Domainnamen gleich mehrere IP's zugeordnet. Der DNS-Server reicht die Anfragen abwechselnd an die zugewiesenen Adressen weiter - das nennt man DNS Round Robin.

Implementierung:

Es gibt 2 Arten der Implementierung:

Multiple A records
Multiple CNAME's

Bsp. für 1.:

www.example.net 60 IN A 123.45.67.81
www.example.net 60 IN A 123.45.67.82
www.example.net 60 IN A 123.45.67.83
www.example.net 60 IN A 123.45.67.84

60 ist dabei der TTL-Wert, d.h. die "time to live". Der Wert sollte relativ klein gehalten werden, in diesem Fall 60 Sekunden, damit der DNS-Cache öfter aktualisiert wird.

Bsp. für 2.:

www1 IN A 123.45.67.81
www2 IN A 123.45.67.82
www3 IN A 123.45.67.83
www4 IN A 123.45.67.84

www IN CNAME www1.example.net.
IN CNAME www2.example.net.
IN CNAME www3.example.net.
IN CNAME www4.example.net.

Für ältere DNS-Server (z.B. Bind8) ist bei Bsp.2 ein zusätzlicher Parameter in der Konfiguration notwendig:

options {
multiple-cnames yes;
};

Generell würde ich eher Bsp.1 empfehlen. Das wird von den meisten, aktuellen DNS-Servern (z.B. Bind9) unterstützt!

DEBIAN: 64Bit sources.list Flash Multimedia

Sat, 19 Jan 2008 15:14:33 +0100

Wer schon mal ein 64Bit Debian Etch als Arbeitsplatz eingerichtet hat, wird gemerkt haben, dass einige Features, sowie z.B. das Flash-Plugin im Browser, noch nicht in der 64Bit-Version verfügbar sind.

Das kann man aber durch Erweiterung der /etc/apt/sources.list realisieren:

# Multimedia Debianpakete
deb http://www.debian-multimedia.org etch main
deb-src http://www.debian-multimedia.org etch main

# Flashplayer libgtk32
deb http://www.dipconsultants.com/debian etch main
deb-src http://www.dipconsultants.com/debian etch main

# Virtualbox
deb http://www.virtualbox.org/debian etch non-free

Für debian-multimedia.org muß man noch einen key installieren:

wget http://debian-multimedia.org/gpgkey.pub -O - | apt-key add - && apt-get install debian-multimedia-keyring

Danach natürlich apt-get update.

Wer noch weitere Quellen hat, kann Sie mir gerne per E-Mail oder als Kommentar zu diesem Artikel posten.

DEBIAN: Greylisting Daemon mit Postfix

Sat, 19 Jan 2008 13:16:21 +0100

Greylisting ist eine relativ neue, aber effektive Methode der Spam-Bekämpfung. Ich zeige hier, wie man den Deamon GLD in Postfix integriert.

Ich setze dabei voraus, dass bereits eine Basis-Installation von Postfix vorhanden ist.

Wenn nicht, gibt es hier einige Anleitungen: www.cplinux.de/e-mail-server.category.html

Zuerst muß das benötigte Paket installiert werden: apt-get install postfix-gld

Damit der Dienst korrekt gestartet werden kann, muß er in /etc/default/gld aktiviert werden: ENABLED=1

Jetzt wird es Zeit, den Dienst zu konfigurieren. Die Konfigurationsdatei ist /etc/gld.conf

Eine Beispielkonfiguration wäre:

PORT=2525

#Der Port, den GLD benutzt

LOOPBACKONLY=1

#Nur lokal erreichbar? (empfohlen!)

CLIENTS=127.0.0.1/32

#Netzwerke, die sich mit GLD verbinden dürfen

USER=postfix-gld

#Standard-Benutzer f. GLD

GROUP=postfix-gld

#Standard-Gruppe f. GLD

MAXCON=100

#Max. Anzahl gleichzeitiger Verbindungen

MINTIME=60

#Anz. Sek., die GLD warten soll, bis eine Greylist-Mail akzeptiert wird

LIGHTGREY=0

#GLD grey-listet nur Klasse C IPs, statt indiv. IP-Adr.

MXGREY=0

#Eine Variation des Greylist Algorithmus

WHITELIST=1

#GLD Whitelist-Tabelle benutzen?

ERRACCEPT=1

#Art der Fehlerrückgabe

SYSLOG=1

#Syslog benutzen?

FACILITY=mail

#In welche Logs soll GLD schreiben?

MESSAGE=Service temporarily unavailable, please try later
#Die Nachricht kann geändert werden. Der Code ist standardmäßig 450,
#ansonsten muß er in der Nachricht mitgegeben werden.

TRAINING=0

#Zu Testzwecken, z.B. Performance-Tests. Es erfolgt kein Greylisting in diesem Modus

SQLHOST=localhost

#Server IP oder idealerweise localhost bzw. 127.0.0.1

SQLUSER=gld

#Benutzername f. die Datenbank

SQLPASSWD=xxxxxxxx

#Passwort

SQLDB=glddb

#Datenbank f. GLD

Die Datenbank für GLD müssen wir natürlich noch anlegen. Das kann man als root in der mysql-Konsole mit:

CREATE DATABASE glddb;

GRANT ALL ON glddb.* TO `gld`@`localhost` IDENTIFIED BY 'xxxxxxxx';

FLUSH PRIVILEGES;

Danach müssen noch die beiden Tabellen angelegt werden:

cd /usr/share/gld

cat tables.mysql | mysql --user=gld --password=xxxxxxxx --database=glddb --host=localhost

cat table-whitelist.mysql | mysql --user=gld --password=xxxxxxxx --database=glddb --host=localhost

Jetzt kann der Daemon gestartet werden: /etc/init.d/gld start

Damit Postfix GLD nun auch verwendet muß in der Datei /etc/postfix/main.cf noch folgender Eintrag erfolgen:

check_policy_service inet:127.0.0.1:2525

Der Eintrag gehört in die smtpd_recipient_restrictions, idealerweise ans Ende der Zeile.

Jetzt noch Postfix neustarten: /etc/init.d/postfix restart

Nun sollte man noch einen Cronjob anlegen, der die Datenbank hin und wieder leert.

Dazu hilft folgendes Script:

#!/bin/bash

EXPIRE_GREYLIST=43200
EXPIRE_WHITELIST=$((35 * 86400))

MYSQL_HOST="localhost"
MYSQL_USER="gld"
MYSQL_PASSWORD="xxxxxxxx"
MYSQL_DATABASE="glddb"

echo " DELETE FROM greylist WHERE last<$((`date +%s` - EXPIRE_WHITELIST)); DELETE FROM greylist WHERE n=1 AND first<$((`date +%s` - EXPIRE_GREYLIST)); " | mysql --user=$MYSQL_USER --password=$MYSQL_PASSWORD --host=$MYSQL_HOST --database=$MYSQL_DATABASE

That's it.

Postfix: Realtime Blackhole Lists

Mon, 12 Nov 2007 16:09:13 +0100

Was ist die Aufgabe von Realtime Blackhole Lists (RBL's)?

In den meisten RBL's werden IP-Adressen oder Namen von Servern/Rechnern gelistet, von denen in der Vergangenheit Spam oder Malware versendet wurde.

Durch die RBL's kann man einen großen Teil der ankommenden Spam- und Malware-Flut direkt abblocken, bevor sie auf dem Mailserver zugestellt wird.

Beispiele für RBL's:

sbl-xbl.spamhaus.org
bl.spamcop.net

Weitere RBL's: spamlinks.net/filter-dnsbl-lists.htm

So wird das Ganze in Postfix integriert:

In der Datei /etc/postfix/main.cf muß in der Zeile smtpd_recipient_restrictions folgendes hinzugefügt werden (Beispiel):

reject_rbl_client sbl-xbl.spamhaus.org

Man sollte meiner Meinung nach maximal 2-3 Blacklists eintragen. Die Zeile könnte dann so aussehen:

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient,
reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_destination, reject_rbl_client bl.spamcop.net, reject_rbl_client sbl-xbl.spamhaus.org, reject_unauth_pipelining

Achtung! Bitte darauf achten, dass die Werte durch Kommata getrennt werden. Die Zeile sollte keine Zeilenumbrüche enthalten.

Jetzt bleibt noch die Frage, ob wir demjenigen, der den Spam schickt, eine Fehlermeldung ausgeben?

Das kann man durch Hinzufügen der folgenden beiden Zeilen in der /etc/postfix/main.cf realisieren:

rbl_code = 554

default_rbl_reply = $rbl_code RBL! Ihre E-Mail konnte nicht gesendet werden!

rbl_code ist dabei optional und muß nicht angegeben werden.

Jetzt noch die neue Konfiguration laden: /etc/init.d/postfix reload

Postfix: mySQL-Host-Blacklist

Mon, 12 Nov 2007 16:07:54 +0100

Wer kennt das nicht? Man wird immer wieder von bestimmten Mail-Servern zugespammt.

Neben den Realtime Blackhole Lists (RBL's) kann auch eine eigene Blacklist Abhilfe schaffen - ich sehe das als Ergänzung dazu.

In der Datei /etc/postfix/main.cf muß in der Zeile mit dem Parameter smtpd_recipient_restrictions folgendes hinzugefügt werden:

check_client_access mysql:/etc/postfix/mysql_trusted.cf

Die Werte werden durch Kommata getrennt.

Die Zeile könnte z.B. so aussehen:

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_client_access mysql:/etc/postfix/mysql_trusted.cf, reject_invalid_hostname, reject_non_fqdn_hostname,
reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_destination, reject_unlisted_recipient, reject_unauth_pipelining

Achtung! Bitte darauf achten, dass alles in einer Zeile steht, ohne Zeilenumbrüche!

Die Tabelle trusted muß jetzt noch angelegt werden, in meinem Bsp. in der Datenbank postfix:

CREATE TABLE `trusted` (
`id` int(5) NOT NULL auto_increment,
`host` varchar(100) NOT NULL,
`access` enum('OK','REJECT') NOT NULL default 'OK',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8 AUTO_INCREMENT=15 ;

Jetzt müssen wir die noch fehlende /etc/postfix/mysql_trusted.cf erstellt werden:

user = postfix
password = post
dbname = postfix
table = trusted
select_field = access
where_field = host
hosts = localhost

Den Datenbank-Namen (dbname) und die Zugangsdaten (user, password) muß man entspr. anpassen.

Jetzt sollte man die neuen Einstellungen testen: /etc/init.d/postfix reload wenn der Dienst läuft, ansonsten /etc/init.d/postfix start.

Für den Test muß ein entsprechender Hostname oder eine IP-Adresse hier eingetragen und entweder mit dem Wert REJECT abgewiesen oder mit dem Wert OK authorisiert werden.

Postfix: Mail-Anhänge filtern

Mon, 12 Nov 2007 13:59:15 +0100

Möchte man bei Postfix verhindern, dass z.B. E-Mail-Anhänge wie .exe, .bat, .pif etc. verschickt werden, kann man das folgendermaßen lösen.

In der Datei /etc/postfix/main.cf ist folgende Zeile einzutragen:

mime_header_checks=pcre:/etc/postfix/header_check

Das veranlasst Postfix im Header nach dem regulären Ausdruck in der Datei header_check zu suchen.
Der Ausdruck sieht etwas komplex aus:

/^((Content-(Disposition: attachment;|Type:).*| +)| *)(file)?name *= *"?.*.(lnk|hlp|ocx|reg|bat|cmd|exe|dll|pif|scr|wmf)"? *$/ REJECT attachment type not allowed

Der Ausdruck verhindert, dass Dateien mit den Endungen lnk, hlp, ocx, reg, bat, cmd, exe, dll, pif, scr, wmf verschickt werden.
Noch beim Versenden der Mail erhält man die Meldung "attachment type not allowed".

Nach den Änderungen sollte man nun noch die Postfix-Konfiguration neu laden: /etc/init.d/postfix reload

GENTOO: PureFTPd mit mySQL

Sun, 04 Nov 2007 19:55:32 +0100

Beschrieben wird hier die Installation von PureFTPd auf einem Gentoo-System.

Die Konfiguraiton der Accounts erfolgt über mySQL.

Erst einmal die Installation: USE="pam ssl mysql" emerge pure-ftpd

Die IP des mySQL-Servers und die des FTP-Server müssen nicht unbedingt gleich sein. In diesem Bsp. habe ich 123.45.67.88 für den mySQL-Server und 123.45.67.89 für den FTP-Server verwendet.

Wenn sich beides auf dem gleichen Server befindet, kann man stattdessen getrost localhost eintragen.

Es gibt nun 2 Konfigurationsdateien, die im Verzeichnis /etc/conf.d angelegt werden müssen:

/etc/conf.d/pure-ftpd

#Der Server startet nur, wenn diese Variable auf "yes" gestellt ist
IS_CONFIGURED="yes"

#Server Port
SERVER="-S 21"

#Max. Anzahl gleichzeitiger Verbindungen insg. und pro IP
MAX_CONN="-c 30"
MAX_CONN_IP="-C 10"

# Als Daemon ("-D") oder im Hintergrund ("-B") starten?
DAEMON="-B"

# Keine Uploads zulassen, wenn die Partition zu mehr als 90% gefüllt ist
DISK_FULL="-k 90%"

# Wenn der Server hinter einer Firewall ist
# USE_NAT="-N"

# Authentifizierung via mySQL
AUTH="-l mysql:/etc/conf.d/pure-ftpd-mysql"

# Max. IDLE
# TIMEOUT="-I '"

# Welche facility soll zum Loggen verwendet werden? z.B. syslog
# Wenn nicht angegeben, ist es standardmäßig: "ftp"
# Deaktivieren mit "-f none"
# LOG="-f facility"

# Hier statt 123.45.67.89 die IP des Servers eintragen, die per FTP erreichbar sein soll
MISC_OTHER="-A -j -u 80 -p 50000:65535 -P 123.45.67.89"

# Weitere Details: "http://pureftpd.sourceforge.net/README"

/etc/conf.d/pure-ftpd-mysql

MYSQLServer     123.45.67.89
#MYSQLSocket    /var/run/mysqld/mysqld.sock
MYSQLUser       ftp
MYSQLPassword   XXXXXXXX
MYSQLDatabase   pureftpd
MYSQLCrypt      MD5
MYSQLGetPW      SELECT Password FROM pureftpd WHERE User="L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MYSQLGetUID     SELECT Uid FROM pureftpd WHERE User="L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MYSQLGetGID     SELECT Gid FROM pureftpd WHERE User="L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MYSQLGetDir     SELECT Dir FROM pureftpd WHERE User="L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MySQLGetBandwidthUL SELECT ULBandwidth FROM pureftpd WHERE User="L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MySQLGetBandwidthDL SELECT DLBandwidth FROM pureftpd WHERE User="L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MySQLGetQTASZ   SELECT QuotaSize FROM pureftpd WHERE User="L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MySQLTransactions Off

Den mySQL-Benutzer und die Tabellen muß man ggf. noch anlegen:

CREATE DATABASE pureftpd;

GRANT ALL ON pureftpd.* TO 'ftp'@'123.45.67.89' IDENTIFIED BY 'XXXXXXXX';

FLUSH PRIVILEGES;

USE pureftpd;

CREATE TABLE `users` (
`User` varchar(50) NOT NULL default '',
`Password` varchar(64) binary NOT NULL default '',
`Uid` int(11) NOT NULL default '2100',
`Gid` int(11) NOT NULL default '2100',
`Dir` varchar(128) NOT NULL default '/home/pureftpd',
`QuotaFiles` int(10) NOT NULL default '5000',
`QuotaSize` int(10) NOT NULL default '30000',
`ULBandwidth` int(10) NOT NULL default '80',
`DLBandwidth` int(10) NOT NULL default '80',
`Ipaddress` varchar(15) NOT NULL default '*',
`Comment` tinytext,
`Status` enum('0','1') NOT NULL default '1',
`ULRatio` smallint(5) NOT NULL default '1',
`DLRatio` smallint(5) NOT NULL default '1',
PRIMARY KEY (`User`),
UNIQUE KEY `User` (`User`)
) TYPE=MyISAM;

Jetzt den Dienst starten: /etc/init.d/pure-ftpd start

Die Benutzer können jetzt ganz einfach über die mySQL-Tabelle users verwaltet werden.

DEBIAN: ProFTPd mit mySQL

Sun, 04 Nov 2007 19:54:38 +0100

Im folgenden wird eine ProFTPd-Konfiguration mit mySQL als Backend beschrieben.

Warum mit mySQL? Die Antwort ist ganz einfach: Die Administration wird dadurch schneller und einfacher.
Man könnte z.B. auch ein Web-Interface erstellen, um die Benutzer darüber zu verwalten.
Besonders, wenn man viele Benutzer hat, bleibt es so einigermaßen übersichtlich.

Erst einmal installieren wir die benötigten Pakete:

apt-get install proftpd proftpd-mysql

Die Konfigurationsdateien befinden sich in /etc/proftpd.

Zuerst überprüfen wir die Datei modules.conf. Die Datei muß folgende Zeilen enthalten (ohne führende #):

LoadModule mod_sql.c
LoadModule mod_sql_mysql.c

Anmerkung:

ftp.example.net ist in dem Beispiel der Server, auf dem proftpd läuft.

db.example.net der Server, auf dem mySQL läuft.
Es können je nach Konfiguration auch beide Dienste auf dem gleichen Server laufen.

Statt der Namen kann man natürlich auch IP-Adressen verwenden.

Jetzt sollte die folgende Tabelle in einer beliebigen Datenbank angelegt werden.

Ich nenne die Datenbank in dem Beispiel proftpd und die Tabelle ftpuser.

CREATE DATABASE proftpd;
USE proftpd;
CREATE TABLE `ftpuser` (
`id` int(3) NOT NULL auto_increment,
`username` varchar(60) character set latin1 collate latin1_bin default NULL,
`uid` int(11) default NULL,
`gid` int(11) default NULL,
`password` varchar(30) default NULL,
`homedir` varchar(250) default NULL,
`shell` varchar(60) default NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=22 ;

Jetzt brauchen wir einen Benutzer, der Zugriff auf die Tabelle bekommt:

GRANT ALL ON proftpd.ftpuser TO `ftp`@`db.example.net` IDENTIFIED BY 'ratemal';
FLUSH PRIVILEGES;

In meinem Bsp. heißt der Benutzer "ftp" und das Passwort "ratemal".

db.example.net sollte man dann noch durch die IP oder den Hostnamen des jeweiligen Servers ersetzen.

Jetzt kommt die Haupt-Konfigurationsdatei von Proftpd: /etc/proftpd/proftpd.conf

Die letzten 9 Zeilen, mit "SQL" beginnend sind dabei sehr wichtig! Darüber wird der mySQL-Zugriff gesteuert.

Neben dem Hostnamen sollte man auch daran denken, evtl. Log-Files zu verwenden.

Anbei ein Beispiel:

Include /etc/proftpd/modules.conf
UseIPv6                         off
ServerName                      "ftp.example.net"
ServerType                      standalone
DeferWelcome                    off
MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on
TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200
DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
ListOptions                     "-l"
DenyFilter                      *.*/
Port                            21
MaxInstances                    30
User                            proftpd
Group                           nogroup
Umask                           022 022
AllowOverwrite                  on
DefaultRoot ~
TransferLog /var/log/proftpd/xferlog
SystemLog   /var/log/proftpd/proftpd.log

TLSEngine off

QuotaEngine on

Ratios on

DelayEngine on

ControlsEngine        on
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock

AdminControlsEngine on

SQLAuthTypes Backend Plaintext Crypt
SQLAuthenticate users*
SQLConnectInfo proftpd@db.example.net ftp ratemal
SQLDefaultGID 65534
SQLDefaultUID 65534
SQLMinUserGID 100
SQLMinUserUID 500
SQLUserInfo ftpuser username password uid gid homedir shell
SQLLOGFILE /var/log/proftpd/proftpd.sql.log

Das Verzeichnis /var/log/proftpd muß man noch anlegen, wenn man die Log-Files verwenden möchte.

Zur Überwachung und für evtl. Debugging ist das sehr hilfreich.

Jetzt noch den Dienst starten: /etc/init.d/proftpd start

Mit der o.a. Konfiguration kann man jetzt einen Beispieluser erzeugen:

INSERT INTO ftpuser

(username,password,homedir,shell)

VALUES

('testuser', ENCRYPT('testpasswort'), '/home/testuser', '/bin/bash');

Anbei nochmal die wichtigsten SQL-Optionen erklärt:

SQLAuthTypes

Sollen die Passwörter in der Datenbank verschlüsselt oder in Plain-Text hinterlegt werden.

Mögliche Werte:

Crypt	Crypt-Verschlüsselung
Plaintext	Passwort wird als Klartext in der Datenbank hinterlegt.
Empty	Leere Passwörter erlaubt
OpenSSL	Angabe im Format '{digest-name}hashed-value'
Backend	Authentifizierung mit Hilfe von mySQL's PASSWORD()-Funktion

SQLConnectInfo

Format: datenbankname@mysql-server benutzername passwort

SQLUserInfo

Mit diesen Parametern wird die SQL-Abfrage zusammengesetzt.

Man könnte zu ProFTPd noch weitaus mehr schreiben. Ich möchte das Tutorial aber kurz und einfach halten.

Die komplette Dokumentation findet man hier: www.proftpd.org/docs/

DEBIAN: Chroot'ed SFTP-Server

Sun, 04 Nov 2007 19:41:33 +0100

Bei der Distribution Debian Etch bietet sich für den chroot'ed SFTP-Server das Projekt mySecureShell an.

Die Installation ist sehr leicht und der Konfigurationsaufwand gering.

Installation:

Als Vorraussetzung müssen folgende Pakete installiert werden:

apt-get install libssl0.9.7 ssh openssh-server

Jetzt wird das Debian-Package für mySecureShell benötigt:

wget http://www.cplinux.de/downloads/mysecureshell_0.95_i386.deb
dpkg -i mysecureshell_0.95_i386.deb

Nach der Installation sollte nun der Dienst schon laufen.

Damit ein Benutzer den Dienst nutzt, muß die Shell auf /bin/MySecureShell umgestellt werden.

Einen vorhandenen Benutzer kann man mit

usermod -s /bin/MySecureShell benutzername

modifizieren.

Einen neuen Benutzer kann man mit

useradd -s /bin/MySecureShell benutzername

anlegen. Man sollte nicht vergessen, mit passwd noch ein Passwort zu setzen.

Damit sollte einem Login nun nichts mehr im Wege stehen.
Das home-Verzeichnis des Benutzers (im Bsp. /home/benutzername) sollte natürlich existieren und der Benutzer sollte die Berechtigung darauf haben.

Anmerkung zur Konfiguration:

Für das Fine-Tuning kann man die Datei /etc/ssh/sftp_config anpassen.
Die Datei sieht folgendermaßen aus:

## MySecureShell Configuration File ##
#Default rules for everybody

    GlobalDownload        50k    #total speed download for all clients
    # o -> bytes   k -> kilo bytes   m -> mega bytes
    GlobalUpload        0    #total speed download for all clients (0 for unlimited)
    Download         5k    #limit speed download for each connection
    Upload             0    #unlimit speed upload for each connection
    StayAtHome        true    #limit client to his home
    VirtualChroot        true    #fake a chroot to the home account
    LimitConnection        10    #max connection for the server sftp
    LimitConnectionByUser    1    #max connection for the account
    LimitConnectionByIP    2    #max connection by ip for the account
    Home            /home/$USER    #overrite home of the user but if you want you can use
    IdleTimeOut        300    #(in second) deconnect client is idle too long time
    ResolveIP        true    #resolve ip to dns
    #    IgnoreHidden        true    #treat all hidden files as if they don't exist
    #    DirFakeUser        true    #Hide real file/directory owner (just change displayed permissions)
    #    DirFakeGroup        true    #Hide real file/directory group (just change displayed permissions)
    #    DirFakeMode        0400    #Hide real file/directory rights (just change displayed permissions)
    #Add execution right for directory if read right is set
    #    HideFiles        "^(lost+found|public_html)$"    #Hide file/directory (POSIX regex)
    HideNoAccess        true    #Hide file/directory which user has no access
    #    MaxOpenFilesForUser    20    #limit user to open x files on same time
    #    MaxWriteFilesForUser    10    #limit user to x upload on same time
    #    MaxReadFilesForUser    10    #limit user to x download on same time
    DefaultRights            0640 0750    #Set default rights for new file and new directory
    #    PathDenyFilter        "^."    #deny upload of directory/file which match this extented POSIX regex
    ShowLinksAsLinks    false    #show links as their destinations
    #    ConnectionMaxLife    1d    #limits connection lifetime to 1 day

    Charset            "ISO-8859-15"    #set charset of computer
    #    GMTTime            +1    #set GMT Time (change if necessary)

#Rules only for group ftp
#
#    Download    25 k/s
#

#
#    IsAdmin        true        #can admin the server
#    VirtualChroot    false        #you must disable chroot to have a full support of admin
#    StayAtHome    true
#    IdleTimeOut    0
#

#
#    SftpProtocol        3    #force protocol SFTP
#    DisableAccount        true    #disable account
#

#Rules only for group ftpnolimit
#
#    Download        0    #0 = unlimited
#    IdleTimeOut        0    #no timeout
#    DirFakeUser        false    #show real user on file/directory
#    DirFakeGroup        false    #show real group on file/directory
#    DirFakeMode        0    #show real rights on file/directory
#    HideFiles        ""    #show all files
#    MaxReadFilesForUser    0    #0 = unlimited but still have the restriction MaxOpenFilesForUser
#

#
#    ByPassGlobalDownload    true    #bypass GlobalDownload restriction
#    ByPassGlobalUpload    true    #bypass GlobalUpload restriction
#    Download        0
#    DisableAccount        false    #enable account
#    IdleTimeOut        0    #disable timeout
#    LimitConnectionByIP    0    #no limit
#

#
#    Shell        /bin/tcsh    #give a shell access to TRUSTED clients !!!
#

#
#    DirFakeUser    false    #show real user on file/directory
#    DirFakeGroup    false    #show real group on file/directory
#    DirFakeMode    0    #show real rights on file/directory
#    HideNoAccess    false
#    IgnoreHidden    false
#

#Include /etc/my_sftp_config_file    #include this valid configuration file

SSH-Zugriff ohne Anmeldung

Sat, 20 Oct 2007 14:41:29 +0200

Möchte man Daten zwischen mehreren Servern per SSH / SCP austauschen, ohne sich jedes Mal mit dem Passwort anmelden zu müssen, gibt es hier einen einfachen Weg:

Zuerst generieren wir die Schlüsselpaare auf beiden Servern mit: ssh-keygen -t rsa

Jetzt wechseln wir in das Home-Verzeichnis des angemeldeten Benutzers und dann in das versteckte Unterverzeichnis: .ssh

Der öffentliche Schlüssel befindet sich in der Datei id_rsa.pub, den wir nun auf das Zielsystem kopieren:

scp id_rsa.pub benutzer@ip-des-testsystems:/home/benutzer/

Bsp. für Benutzer root und IP 192.168.0.1: scp id_rsa.pub root@192.168.0.1:/root/

Jetzt hängen wir den Hinhalt der Datei id_rsa.pub an die Datei .ssh/authorized_keys an, bzw. erstellen die Datei mit dem Inhalt, falls sie noch nicht existiert.

Jetzt wechseln wir in das Home-Verzeichnis des Benutzers auf dem Zielsystem und führen folgenden Befehl aus:

cat id_rsa.pub >> .ssh/authorized_keys

Danach den kopierten Schlüssel wieder löschen:

rm id_rsa.pub

Das war's! Jetzt kann man sich per SSH ohne Passwort auf das Zielsystem verbinden.

Damit das in die Gegenrichtigung auch funktioniert, führt man die o.a. Schritte auf dem anderen Server auch noch aus.

Postfix mit mySQL Courier-Konfiguration

Thu, 30 Aug 2007 21:26:01 +0200

postfix,mysql,courier,imap,smtp,main.cf,auth,aliases,destination,recipient_canonical,sender_canonical,transport,forwarding

Vorbemerkung: Dieses Tutorial ist mit dem CourierIMAP-Tutorial kombinierbar.

Mit apt-get install postfix postfix-mysql kann man die benötigten Pakete installieren.
Dies ist eine Beispielkonfiguration von Postfix mit mySQL als Backend:

/etc/postfix/main.cf

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

append_dot_mydomain = no
delay_warning_time = 2h

bounce_queue_lifetime = 1d
transport_retry_time = 10s
trigger_timeout = 20s

myhostname = mail.example.net
mydomain = mail.example.net
alias_maps = mysql:/etc/postfix/mysql_aliases.cf
sender_canonical_maps = mysql:/etc/postfix/mysql_sender_canonical.cf
recipient_canonical_maps = mysql:/etc/postfix/mysql_recipient_canonical.cf
transport_maps = mysql:/etc/postfix/mysql_transport.cf
mydestination = mysql:/etc/postfix/mysql_destination.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql_destination_virtual.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql_mailboxes.cf
virtual_alias_maps = mysql:/etc/postfix/mysql_email2email.cf mysql:/etc/postfix/mysql_forwarding.cf

virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_mailbox_base = /home/vmail
mailbox_transport = virtual

mynetworks = 127.0.0.0/8
message_size_limit = 8000000
inet_interfaces = all
myorigin = mail.example.net

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $mydestination

smtpd_helo_required = yes
smtpd_delay_reject = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_destination, reject_unlisted_recipient, reject_unauth_pipelining

broken_sasl_auth_clients = yes
remote_header_rewrite_domain = $mydestination
local_header_rewrite_clients = $mydestination

Der Zugriff auf die verschiedenen Maps erfolgt über mySQL.
Nachfolgend gehe ich davon aus, dass die Tabellen in der Datenbank postfix abgelegt werden. Benutzername und Passwort in dem Bsp. ist post.

CREATE DATABASE postfix;
GRANT ALL ON postfix.* TO post@localhost IDENTIFIED BY 'post';

Es müssen nun folgende Tabellen angelegt werden:

CREATE TABLE `aliases` (
`id` int(11) unsigned NOT NULL auto_increment,
`alias` varchar(128) NOT NULL default '',
`destination` varchar(128) NOT NULL default '',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=21 ;

Diese Tabelle enthält Aliase für bestimmte Linux-Benutzer. Z.B. kann man die Post für root hier an webmaster weiterleiten.

CREATE TABLE `destination` (
`id` int(11) unsigned NOT NULL auto_increment,
`destination` varchar(128) NOT NULL default '',
`virtual` int(1) NOT NULL default '1',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=7 ;

Diese Tabelle enthält alle Domains, für die der Mailserver E-Mails annehmen darf. In unserem Beispiel example.net.

CREATE TABLE `forwarding` (
`id` int(5) NOT NULL auto_increment,
`email` varchar(100) NOT NULL,
`destination` varchar(100) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=51 ;

Möchte man E-Mails an bestimmte Adressen automatisch an einen oder mehrere Personen weiterleiten, können die Adressen hier eingetragen werden. Mehrfacheinträge für eine Adresse sind also kein Problem. Bsp.:
ID1: verteiler@example.net -> personA@example.net
ID2: verteiler@example.net -> personB@example.net
u.s.w.

CREATE TABLE `recipient_canonical` (
`id` int(11) unsigned NOT NULL auto_increment,
`email` varchar(128) NOT NULL default '',
`destination` varchar(128) NOT NULL default '',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=17 ;

Hier können ankommende Mails an bestimmte E-Mail-Accounts weitergeleitet werden.
Bsp.: jmd. sendet eine E-Mail an max.mustermann@example.net.
Hier kann man festlegen, dass diese E-Mail an das Postfach mustermann@example.net geht.
Die Mailbox max.mustermann muß dabei nicht existieren.

CREATE TABLE `sender_canonical` (
`id` int(11) unsigned NOT NULL auto_increment,
`email` varchar(128) NOT NULL default '',
`destination` varchar(128) NOT NULL default '',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=53 ;

Hier werden ausgehende Mails maskiert. Sendet mustermann@example.net eine E-Mail wird sie vor dem Versand z.B. als max.mustermann@example.net maskiert.

CREATE TABLE `transport` (
`id` int(11) unsigned NOT NULL auto_increment,
`domain` varchar(128) NOT NULL default '',
`destination` varchar(128) NOT NULL default '',
PRIMARY KEY (`id`),
UNIQUE KEY `domain` (`domain`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=1 ;

Hier kann man festlegen, dass ausgehende Mails an bestimmte Domains über andere Server bzw. Dienste zugestellt werden sollen.
Bsp.: cplinux.de -> smtp:mail.cplinux.de:25

CREATE TABLE `users` (
`id` int(11) unsigned NOT NULL auto_increment,
`email` varchar(100) NOT NULL,
`password` varchar(100) NOT NULL default '',
`status` int(1) NOT NULL default '1',
`quota` varchar(20) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=23 ;

Hier werden die E-Mail-Adressen mit Passwort geführt. Das Feld Quota in der tabelle ist optional. Steuert man z.B. nicht nur Postfix, sondern auch z.B. einen IMAP-Server wie Cyrus über mySQL, könnte man hier auch gleich die Quota mit verwalten. Der Status ist in diesem Bsp. 0 (deaktiviert) oder 1 (aktiviert).
Je nach dem ob cyrus-sasl mit Crypt-Support installiert wurde oder nicht, muß das Passwort im Klartext oder mit verschlüsselt (mySQL-Funktion ENCRYPT) in der Datenbank abgelegt werden.

Diese Tabelle wird auch von Courier verwendet!

Die Postfix-Konfigurationsdateien für die verschiedenen Tabellen sehen so aus:

/etc/postfix/mysql_aliases.cf

user = postfix
password = post
dbname = postfix
table = aliases
select_field = destination
where_field = alias
hosts = localhost

/etc/postfix/mysql_auth.cf

user = postfix
password = post
dbname = postfix
table = users
select_field = email
where_field = password
additional_conditions = and status='1'
hosts = localhost

/etc/postfix/mysql_destination.cf

user = postfix
password = post
dbname = postfix
table = destination
select_field = destination
where_field = destination
additional_conditions = and virtual='0'
hosts = localhost

/etc/postfix/mysql_destination_virtual.cf

user = postfix
password = post
dbname = postfix
table = destination
select_field = destination
where_field = destination
additional_conditions = and virtual='1'
hosts = localhost

/etc/postfix/mysql_email2email.cf

user = postfix
password = post
dbname = postfix
table = users
select_field = email
where_field = email
hosts = localhost

/etc/postfix/mysql_forwarding.cf

user = postfix
password = post
dbname = postfix
table = forwarding
select_field = destination
where_field = email
hosts = localhost

/etc/postfix/mysql_mailboxes.cf

user = postfix
password = post
dbname = postfix
table = users
select_field = CONCAT(SUBSTRING_INDEX(email,'@',-1),'/',SUBSTRING_INDEX(email,'@',1),'/')
where_field = email
hosts = localhost

/etc/postfix/mysql_recipient_canonical.cf

user = postfix
password = post
dbname = postfix
table = recipient_canonical
select_field = destination
where_field = email
hosts = localhost

/etc/postfix/mysql_sender_canonical.cf

user = postfix
password = post
dbname = postfix
table = sender_canonical
select_field = destination
where_field = email
hosts = localhost

/etc/postfix/mysql_transport.cf

user = postfix
password = post
dbname = postfix
table = transport
select_field = destination
where_field = domain
hosts = localhost

Jetzt sollte man noch SMTP-Auth konfigurieren, damit man die E-Mails auch nach extern versenden kann. Wie das geht, steht hier.

www.cplinux.de/e-mail-server/smtp-auth-in-einer-postfix-mysql-konfiguration-aufsetzen.html

Ist Postfix fertig konfiguriert, ist es Zeit für einen ersten Start: /etc/init.d/postfix start

Courier IMAP mit mySQL

Sat, 18 Aug 2007 17:55:56 +0200

Ok, zu allererst installieren wir die benötigten Pakete:

apt-get install courier-authdaemon courier-authlib courier-authlib-mysql courier-base courier-imap

Nachfolgend erläutere ich eine Multi-Domain-Konfiguration für den Courier-IMAP-Server.

Die Authentifizierung der Benutzer erfolgt über mySQL.

So wird das Anlegen und Verwalten neuer Benutzer stark vereinfacht.

Die mySQL-Tabelle für die Benutzerauthentifierung sieht in dieser Konfiguration folgendermaßen aus:

Der Verzeichnisaufbau für diese Konfiguration ist folgendermaßen:

/home/vmail//

In der Tabelle users im Feld email steht später die komplette E-Mail-Adresse. Die Adresse ist später auch der Login.

Jetzt sollte man einen Benutzer vmail anlegen:

groupadd -g 5000 vmail

useradd -g 5000 -u 5000 -d /home/vmail vmail

Der Benutzer vmail muß immer Lese- und Schreib-Berechtigungen für den Ordner haben, sonst kommt es später zu Problemen.

Falls jmd. jetzt schon ein Domainverzeichnis angelegt hat, sollte man zur Sicherheit nochmal ein

chown -R vmail /home/vmail && chgrp -R vmail /home/vmail

ausführen.

Nun müssen noch ein paar Dateien angepasst werden. Die Konfigurationsdateien befinden sich in /etc/courier.

/etc/courier/authdaemonrc

....
authmodulelist="authmysql"
....

/etc/courier/authmodulelist

authdaemon

/etc/courier/authmysqlrc

....
MYSQL_SERVER        localhost
MYSQL_USERNAME        meinBenutzername
MYSQL_PASSWORD        meinPasswort
MYSQL_PORT        3306
MYSQL_DATABASE        postfix
MYSQL_USER_TABLE    users
#MYSQL_CRYPT_PWFIELD    crypt #optionale Crypt-Verschlüsselung der Passwörter
MYSQL_CLEAR_PWFIELD    password #Passwort im Klartext
#DEFAULT_DOMAIN        example.com #wenn keine Domain angegeben wird
MYSQL_UID_FIELD        '5000'
MYSQL_GID_FIELD        '5000'
MYSQL_LOGIN_FIELD    email
MYSQL_HOME_FIELD    CONCAT('/home/vmail/',SUBSTRING_INDEX(email,'@',-1),'/')
MYSQL_MAILDIR_FIELD    CONCAT(SUBSTRING_INDEX(email,'@',1),'/')
MYSQL_WHERE_CLAUSE    status='1'
....

Ok, das war's schon. Jetzt wird es Zeit für einen ersten Start.

/etc/init.d/courier-authdaemon restart

/etc/init.d/courier-imap restart

Postfächer werden nun ganz einfach durch Anlegen/Ändern des Datenbankeintrags verwaltet.

Um entsprechende Maildir's auf dem Server anzulegen gibt es den Befehl maildirmake bzw. bei Debian auch maildirmake.courier.

Damit kann man in /home/vmail ganz einfach ein neues anlegen, z.B.: maildirmake.courier webmaster

Der Status in der Tabelle users dient dazu, evtl. Benutzer sperren zu können (Status 1 = aktiv).

Debian: apt-get Grundlagen

Mon, 23 Jul 2007 14:23:39 +0200

apt-get,apt,sources.list,squeeze,lenny,etch,sarge,unstable,stable,apt-cache,dist-upgrade,search

In diesem Artikel will ich kurz einige wichtige Befehle zur Installation von Updates und Paketen zeigen.

Für das Paket-Management bei Debian ist apt-get verantwortlich.

Darüber, welche Pakete für das Betriebssystem installiert werden können, bestimmt die Datei sources.list. Hier ein Beispiel:

/etc/apt/sources.list:

deb http://ftp.de.debian.org/debian/ etch main
deb-src http://ftp.de.debian.org/debian/ etch main
deb http://security.debian.org/ etch/updates main contrib
deb-src http://security.debian.org/ etch/updates main contrib

Der Name etch steht hier für den Codenamen der aktuellen Stable-Distribution.

Stattdessen könnte man z.B. auch sarge, lenny, squeeze (current), stable oder unstable verwenden.

unstable enthält die neuesten Pakete, die aber meiner Meinung noch nicht für den Produktiveinsatz hergenommen werden sollten.

stable dagegen zeigt immer auf den aktuellsten, fertiggestellten Milestone des Projekts, aktuell etch.

Ich würde empfehlen hier den Codenamen der Distribution zu verwenden, wie in dem Bsp. oben. Das ist der einfachste und gängiste Weg.

Die lokale Liste der in den Repositories verfügbaren Pakete kann man mit

apt-get update

aktualisieren.

Aktuelle Updates kann man mit

apt-get upgrade

installieren.

Ist man auf der Suche nach einem speziellen Paket, kann man eine Suche in der Paketliste mit

apt-cache search paketname

durchführen.

Die Installation startet man mit apt-get install paketname

Ein Paket deinstallieren kann man mit apt-get remove paketname (mit der Option --purge, einzufügen vor dem Paketnamen, kann man ebenfalls bestehende Konfigurationsdateien mit löschen)

Möchte man die komplette Distribution upgraden, kann man das mit apt-get dist-upgrade tun.

Mit apt-get und dpkg kann man noch weit mehr anstellen, ber das folgt evtl. in einem anderen Artikel.

DEBIAN: Web-Projekte mit SUBVERSION

Mon, 23 Jul 2007 13:46:06 +0200

svn,svnadmin,subversion,subversion-tools,project,commit,post-commit,checkout

In diesem Tutorial zeige ich, wie man relativ einfach einen Subversion-Server für seine Web-Projekte aufsetzen kann.

Installiert habe ich das Ganze auf einem Debian Etch System, die Anleitung funktioniert aber auch auf Lenny und Squeeze.

Für die Installation benötigt man root Rechte.

Dann müssen erst einmal die erforderlichen Pakete installiert werden: apt-get install subversion subversion-tools

Jetzt legt man das SVN-Repository - hier nenne ich es einfach projekt - an. Ich würde vorschlagen, es in /var/svn/ anzulegen:

mkdir /var/svn

cd /var/svn

svnadmin create projekt

Damit haben wir schon mal das Wichtigste erledigt. Jetzt sollte das Repository angepasst werden:

Zunächste editiert man nun die Datei conf/svnserve.conf:

[general]
anon-access = none #Anonymer Zugriff auf das Repository ist nicht erlaubt
auth-access = write #Authentifizierte Benutzer bekommen Schreibberechtigung
password-db = passwd #wie sollen die Benutzer authentifiziert werden? In unserem Fall über ein passwd-File
realm = projekt.example.net #hier die Domain eintragen

Damit sich die Benutzer nun auch anmelden können, müssen wir das passwd-File conf/passwd anlegen:

[users]
testbenutzer = testpasswort #Benutzername = Passwort im Klartext
root = rootpasswort #Ich arbeite in der Konfiguration lokal mit root

Jetzt kommt ein wichtiger Punkt, der speziell für Web-Projekte wichtig ist. Ich gehe davon aus, dass wir den Checkout später so durchführen, dass das Webserver-Verzeichnis /var/www/projekt heißt. Das läßt sich ja individuell anpassen.

Es wird nun die Datei hooks/post-commit angelegt:

#!/bin/sh
REPOS="$1"
REV="$2"
/usr/bin/svn update /var/www/projekt >> /var/svn/projekt/commit.log 2>&1

Anmerkung:

Die Commits werden in meiner Konfiguration in die Datei commit.log gespeichert. Die Datei wird mit der Zeit ziemlich groß. Also sollte man die Datei z.B. mittels Cron-Job hin und wieder leeren.

Bsp. für ein Shell-Script:

#!/bin/bash
gzip -9 -f /var/svn/projekt/commit.log
touch /var/svn/projekt/commit.log
chmod 777 /var/svn/projekt/commit.log

Das Post-Commit-Script bewirkt nun, dass das lokale Arbeitsverzeichnis /var/www/projekt bei jedem Commit in die SVN-Datenbank automatisch aktualisiert wird.

Auf diese Weise sind Änderungen direkt auf dem Webserver sichtbar.

So weit so gut. Nun kümmern wir uns um die Berechtigungen:

chgrp -R subversion /var/svn/projekt

chown -R root /var/svn/projekt

In meiner Konfiguration arbeite ich mit dem Benutzer root, der sich neben der Gruppe root auch in der Gruppe subversion befindet. Das sollte, wenn man diese Konfiguration 1:1 übernimmt auf jeden Fall noch angepasst werden:

In der Datei /etc/group sollten der Gruppe subversion alle Benutzer hinzugefügt werden die auf den Server Zugriff bekommen, bzw. die in der conf/passwd stehen.

Jetzt wird es Zeit, den Dienst zum ersten Mal zu starten. Für die Zukunft empfielt es sich, ein kleines Script dafür anzulegen.

nohup svnserve -r /var/svn/projekt/ -d --listen-port 3690

Der Standard-Port für den Dienst ist 3690.

Jetzt führen wir einen Checkout durch:

cd /var/www

svn checkout svn://localhost:3690 ./

Statt localhost kann man auch die IP oder den Namen des Servers verwenden. Es wird nun noch das SVN-Passwort für den Benutzer root benötigt, dann folgt der Checkout.

Ist der Checkout komplett, passt man nun eimalig die Berechtigungen an:

chgrp -R subversion /var/www/projekt

chown -R root /var/www/projekt

chmod -R 777 /var/www/projekt

Es muß nicht unbedingt 777 (Vollzugriff) für die Berechtigungen sein. Das kann man je nach Bedarf anpassen.

Gut!

Nun sollte man von einem Client aus einen Checkout durchführen. Werden nun Änderungen an das Repository übertragen, sollten die Änderungen auf dem Webserver sofort sichtbar sein.

Falles es wider Erwarten Probleme gibt, empfielt es sich, einen Blick in die Datei commit.log zu werfen.

Die häufigste Ursache für Fehler sind bei Subversion meiner Erfahrung nach Berechtigungsprobleme.

Noch ein paar Hinweise für den Webserver:

In der lokalen Arbeitskopie auf dem Webserver gibt es versteckte Verzeichnisse mit dem Namen .svn. Es empfielt sich, den Zugriff auf diese Verzeichnisse per .htaccess zu unterbinden, z.B. so:

Order allow,deny
Deny from all

Die Datei /etc/mtab

Mon, 23 Jul 2007 11:39:52 +0200

mtab,fstab,etc,proc,mounts,drive,mount,point,file,options,dump,check

Alle im System eingebundenen Laufwerke werden automatisch mit ihren Optionen in /etc/mtab eingetragen.

Die Datei wird automatisch generiert.

Die Optionen der Reihe nach:

Laufwerk
Mountpoint
Dateisystem
Optionen
Dump
Check

Die Bedeutung der einzelnen Punkte kann man hier nachlesen:

http://www.cschramm.net/de/linux/allgemein/die-datei-etc-fstab.html

Ein Beispiel:

dev/sda2 / ext3 rw,errors=remount-ro 0 0
tmpfs /lib/init/rw tmpfs rw,nosuid,mode=0755 0 0
proc /proc proc rw,noexec,nosuid,nodev 0 0
sysfs /sys sysfs rw,noexec,nosuid,nodev 0 0
procbususb /proc/bus/usb usbfs rw 0 0
udev /dev tmpfs rw,mode=0755 0 0
tmpfs /dev/shm tmpfs rw,nosuid,nodev 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/sda1 /boot ext3 rw 0 0
/dev/sda3 /var ext3 rw 0 0

Siehe auch /proc/mounts.

DEBIAN: Samba in 10 Minuten

Mon, 23 Jul 2007 11:21:00 +0200

Dieses Tutorial zeigt, wie man innerhalb sehr kurzer Zeit Shares auf seinem Server freigeben kann.

Mit apt-get install samba samba-common smbfs smbclient installiert man die nötigsten Komponenten.

Nach der Installation muß nun die Datei /etc/samba/smb.conf bearbeitet werden. Anbei ein Minimal-Beispiel:

[global]
workgroup = myworkgroup
domain master = no
os level = 65
guest account = nobody
map to guest = Bad User
security = user
encrypt passwords = yes
netbios name = MYSAMBA

[public]
comment = MYSAMBA Public Share
path = /shares/public
writeable = yes
public = yes

In dieser Minimalkonfiguration wird ein Share definiert, dass auf dem Server in /shares/ liegt - als Beispiel.

Das Verzeichnis auf dem Server muß natürlich existieren, sonst hagelt es Fehler.

Durch die Option writeable=yes hat jeder Benutzer, der sich am Samba-Server angemeldet hat, Schreibrechte.

Die Anmeldung entfällt, wenn die Option public=yes gesetzt wird.

D.h. in diesem Fall darf jeder schalten und walten, wie er möchte.

Jetzt dürten die ersten 7-8Minuten um sein.

Nun noch schnell zu den Berechtigungen. Ein Beispiel:

[hans-privat]
    comment = Privates Verzeichnis von Benutzer Hans
    path = /home/hans/
    writeable = yes
    write list = hans
    user = hans

Nun wird das Home-Verzeichnis von Benutzer Hans als Share hans-privat freigegeben.

Sowohl hinter der Option write list als auch hinter user können mehrere Benutzer, durch Kommata getrennt aufgeführt werden, falls man die Berechtigungen verfeinern möchte.

Mit user gewähren wir Hans Lesezugriff, mit write list Schreibzugriff.

Das Ganze funktioniert natürlich nur, wenn der benutzer Hans sich entsprechend authentifierzieren kann.

Dazu muß er auf dem Server existieren:

useradd hans #legt den Linux-Benutzer an

smbpasswd -a hans #neuer Samba-Benutzer Hans

Nun sollte man Samba neu starten: /etc/init.d/samba reload

Noch ein Hinweis: Bitte beim Anlegen der Verzeichnisse auf dem Server darauf achten, dass entspr. Berechtigungen für Samba freigegeben sind (chmod). Sonst kann es sein, dass man - obwohl angegeben - keine Schreibberechtigung auf den neuen Ordner hat, weil das System Samba den Zugriff verweigert.

Gentoo: Kernelinstallation mit genkernel

Mon, 23 Jul 2007 11:02:09 +0200

gentoo,genkernel,kernel,menuconfig,emerge,gentoolkiit,gentoo-sources,grub,

Das ist der einfachste Weg, auf einer Gentoo-Maschine einen neuen Kernel zu installieren. genkernel nimmt einem bei der Installation des Kernels die meiste Arbeit ab.

Falls genkernel auf dem System noch nicht installiert ist, kann man das mit emerge genkernel und emerge gentoolkit nachholen.

Die Kernel-Sourcen installiert man mit emerge gentoo-sources (und sind nach der Installation typischerweise in /usr/src zu finden).

Nun geht's ans Eingemachte:

genkernel --menuconfig --install all

Möchte man den Bootloader - wie z.B. Grub - automatisch aktualisieren, gibt man den entspr. Parameter auch mit an:

genkernel --menuconfig --install --bootloader=grub all

Das Tool führt einen nun nach kurzer Wartezeit - je nach CPU-Power - in die Menükonfiguration. Wenn man weiß, welche Hardware man verwendet, kann man hier noch etwas aufräumen und unnötige Module entfernen.

Nach Speichern und Beenden, wird der Kernel und die Module kompiliert und installiert.

Mit der Bootloader-Option wird Grub automatisch aktualisiert. Manuell kann man das so erledigen:

grub

root hd(0,0)

setup (hd0)

Mit diesen Befehlen wird erst grub gestartet. Dann wird die 1. Partition auf der 1. Festplatte ausgewählt (0,0).

Dort wird Grub dann neu installiert.

Mit quit kann man die Grub-Konsole beenden.

Vorher sollte man natürlich die Datei menu.lst - typischerweise in /boot/grub/ - bearbeiten und den neuen Kernel eintragen.

Nach dem Aktualisieren des Bootloaders sollte man einen reboot durchführen!

POSTFIX mit mySQL Cyrus-Konfiguration

Tue, 10 Jul 2007 16:41:24 +0200

postfix,mysql,cyrus,imap,smtp,main.cf,auth,aliases,destination,recipient_canonical,sender_canonical,transport,forwarding

Vorbemerkung: Dieses Tutorial ist mit dem CyrusIMAPd-Tutorial kombinierbar.

Mit apt-get install postfix postfix-mysql kann man die benötigten Pakete installieren.
Hier gibt es eine Beispielkonfiguration von Postfix mit mySQL als Backend.

/etc/postfix/main.cf

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
delay_warning_time = 2h
bounce_queue_lifetime = 1d
transport_retry_time = 20s
trigger_timeout = 30s
myhostname = email.example.net
mydomain = email.example.net
alias_maps = mysql:/etc/postfix/mysql_aliases.cf
sender_canonical_maps = mysql:/etc/postfix/mysql_sender_canonical.cf
recipient_canonical_maps = mysql:/etc/postfix/mysql_recipient_canonical.cf
transport_maps = mysql:/etc/postfix/mysql_transport.cf
mydestination = mysql:/etc/postfix/mysql_destination.cf
virtual_alias_domains = mysql:/etc/postfix/mysql_destination_virtual.cf
virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_maps.cf mysql:/etc/postfix/mysql_forwarding.cf

mynetworks = 127.0.0.0/8
mailbox_transport = cyrus #z.B. auch procmail; f. lokale Zustellung
message_size_limit = 5000000 #Mails dürfen max. 5MB groß sein
inet_interfaces = all
myorigin = email.example.net

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $mydestination

smtpd_helo_required = yes
smtpd_delay_reject = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_destination, reject_unlisted_recipient, reject_unauth_pipelining

broken_sasl_auth_clients = yes

remote_header_rewrite_domain = $mydestination
local_header_rewrite_clients = $mydestination

CREATE DATABASE postfix;
GRANT ALL ON postfix.* TO post@localhost IDENTIFIED BY 'post';

Es müssen nun folgende Tabellen angelegt werden:

CREATE TABLE `aliases` (
`id` int(11) unsigned NOT NULL auto_increment,
`alias` varchar(128) NOT NULL default '',
`destination` varchar(128) NOT NULL default '',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=21 ;

Diese Tabelle enthält Aliase für bestimmte Linux-Benutzer. Z.B. kann man die Post für root hier an webmaster weiterleiten.

CREATE TABLE `destination` (
`id` int(11) unsigned NOT NULL auto_increment,
`destination` varchar(128) NOT NULL default '',
`virtual` int(1) NOT NULL default '1',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=7 ;

Diese Tabelle enthält alle Domains, für die der Mailserver E-Mails annehmen darf. In unserem Beispiel example.net.

CREATE TABLE `forwarding` (
`id` int(5) NOT NULL auto_increment,
`email` varchar(100) NOT NULL,
`destination` varchar(100) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=11 ;

CREATE TABLE `recipient_canonical` (
`id` int(11) unsigned NOT NULL auto_increment,
`email` varchar(128) NOT NULL default '',
`destination` varchar(128) NOT NULL default '',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=17 ;

CREATE TABLE `sender_canonical` (
`id` int(11) unsigned NOT NULL auto_increment,
`email` varchar(128) NOT NULL default '',
`destination` varchar(128) NOT NULL default '',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=53 ;

Hier werden ausgehende Mails maskiert. Sendet mustermann@example.net eine E-Mail wird sie vor dem Versand z.B. als max.mustermann@example.net maskiert.

CREATE TABLE `transport` (
`id` int(11) unsigned NOT NULL auto_increment,
`domain` varchar(128) NOT NULL default '',
`destination` varchar(128) NOT NULL default '',
PRIMARY KEY (`id`),
UNIQUE KEY `domain` (`domain`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=1 ;

Hier kann man festlegen, dass ausgehende Mails an bestimmte Domains über andere Server bzw. Dienste zugestellt werden sollen.
Bsp.: cplinux.de -> smtp:mail.cplinux.de:25

CREATE TABLE `users` (
`id` int(11) unsigned NOT NULL auto_increment,
`login` varchar(100) NOT NULL default '',
`password` varchar(100) NOT NULL default '',
`quota` int(8) NOT NULL,
`status` int(1) NOT NULL default '1',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=23 ;

Hier werden die Benutzer mit Passwort geführt. Das Feld Quota in der tabelle ist optional. Steuert man z.B. nicht nur Postfix, sondern auch z.B. einen IMAP-Server wie Cyrus über mySQL, könnte man hier auch gleich die Quota mit verwalten. Der Status ist in diesem Bsp. 0 (deaktiviert) oder 1 (aktiviert).
Je nach dem ob cyrus-sasl mit Crypt-Support installiert wurde oder nicht, muß das Passwort im Klartext oder mit verschlüsselt (mySQL-Funktion ENCRYPT) in der Datenbank abgelegt werden.

CREATE TABLE `virtual_maps` (
`id` int(5) NOT NULL auto_increment,
`email` varchar(100) NOT NULL,
`destination` varchar(100) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=42 ;

Die virtuellen Maps dienen der direkten Zuweisung der E-Mail-Adresse an das Postfach.
Adressen, die weder hier noch in der Tabelle recipient_canonical eingetragen sind, sind nicht erreichbar.
Im Bsp. Cyrus kann man z.B. die Adresse max.mustermann@example.net an mustermann zuweisen, d.h. die Mailbox user.mustermann.

Die Konfigurationsdateien für die verschiedenen Tabellen sehen so aus:

/etc/postfix/mysql_auth.cf

user = post
password = post
dbname = postfix
table = users
select_field = login
where_field = password
additional_conditions = and status='1'
hosts = localhost

/etc/postfix/mysql_aliases.cf

user = post
password = post
dbname = postfix
table = aliases
select_field = destination
where_field = alias
hosts = localhost

/etc/postfix/mysql_sender_canonical.cf

user = post
password = post
dbname = postfix
table = sender_canonical
select_field = destination
where_field = email
hosts = localhost

/etc/postfix/mysql_recipient_canonical.cf

user = post
password = post
dbname = postfix
table = recipient_canonical
select_field = destination
where_field = email
hosts = localhost

/etc/postfix/mysql_transport.cf

user = post
password = post
dbname = postfix
table = transport
select_field = destination
where_field = domain
hosts = localhost

/etc/postfix/mysql_destination.cf

user = post
password = post
dbname = postfix
table = destination
select_field = destination
where_field = destination
additional_conditions = and virtual='0'
hosts = localhost

/etc/postfix/mysql_destination_virtual.cf

user = post
password = post
dbname = postfix
table = destination
select_field = destination
where_field = destination
additional_conditions = and virtual='1'
hosts = localhost

/etc/postfix/mysql_virtual_maps.cf

user = post
password = post
dbname = postfix
table = virtual_maps
select_field = destination
where_field = email
hosts = localhost

/etc/postfix/mysql_forwarding.cf

user = post
password = post
dbname = postfix
table = forwarding
select_field = destination
where_field = email
hosts = localhost

Jetzt sollte man noch SMTP-Auth konfigurieren, damit man die E-Mails auch nach extern versenden kann. Wie das geht, steht hier.
www.cplinux.de/e-mail-server/smtp-auth-in-einer-postfix-mysql-konfiguration-aufsetzen.html

Ist Postfix fertig konfiguriert, ist es Zeit für einen ersten Start: /etc/init.d/postfix start

Einfacher VPN-Server mit Debian

Tue, 10 Jul 2007 11:16:16 +0200

Zuerst installiert man das entsprechende Paket mit apt-get install pptpd
Nun müssen folgende Dateien editiert werden:

/etc/pptpd.conf
Hier müssen die beiden Optionen localip und remoteip gesetzt werden, z.B.:
localip 192.168.0.1
remoteip 192.168.0.2-200
Das bedeutet, dass die IP des Servers im späteren VPN 192.168.0.1 ist. Die Adressen 192.168.0.2 bis 192.168.0.200 werden an Clients vergeben.

/etc/ppp/pptpd-options
Hier sollten folgende Optionen stehen:
proxyarp
nodefaultroute #Default-Route wird bei der Einwahl nicht geändert
lock
nobsdcomp
auth
require-mppe

/etc/ppp/chap-secrets
#Client Server Passwort IP
testbenutzer vpnserver passwort "*"
Hier werden neben dem Benutzernamen, der Server-Name (steht hoffentl. in der /etc/hosts!), das Passwort im Klartext und ggf. die IP angegeben. Soll sich der Benutzer von jedem Standort aus einwählen können, steht hier ein Stern (*).

Wenn man jetzt den Dienst mit /etc/init.d/pptpd restart neu startet, sollte die erste Einwahl gelingen.

In der Firewall sollten die Ports 1723 (PPTP) und 47 (GRE) freigeschaltet werden.

PROCMAIL: E-Mail Zustellung per Procmail-Filter

Thu, 21 Jun 2007 11:31:24 +0200

Den Filter Procmail kann man auf zweilei Arten einbinden:

Man kann die Datei /etc/procmailrc anlegen. Diese Datei gilt dann für alle Benutzer
Man kann im home-Verzeichnis des jeweiligen Benutzers die Datei .procmailrc anlegen. Dann gelten die Regeln nur für den jeweiligen Benutzer.

Am besten erklärt sich die Funktionsweise anhand eines Beispiels:

MAILDIR=/var/spool/mail
PATH=/usr/bin:/usr/local/bin
SHELL=/bin/sh
LOGABSTRACT=NO
VERBOSE=ON
LOGFILE=/var/log/procmail.log

:0fw
| /usr/bin/spamassassin

:0
* ^X-Spam-Status: Yes
| $SPAM

:0c
| $RECIPIENT

:0
| $INBOX

Die einleitenden Konstanten MAILDIR, PATH und SHELL sind nicht zwingend notwendig, ich gebe sie der Vollständigkeit halber aber an.

Das Logging steuert man über die Konstanten LOGABSTRACT und VERBOSE. Wem die Informationen bei VERBOSE-Logging nicht genügen, kann LOGABSTRACT=YES setzen.

Die Log-Datei kann man mit LOGFILE angeben. Der Benutzer sollte dann aber die entsprechende Berechtigung für die Datei haben.

Statt der Variablen $SPAM, $RECIPIENT und $INBOX kann man nun die Pfade zur Inbox, z.B. /dev/null für Spam oder eine entsprechende Schnittstelle angeben. Bsp.:

INBOX="/usr/sbin/cyrdeliver -f $SENDER -a $USER -m user.$USER"
SPAM="$INBOX.Spam"
RECIPIENT="/usr/sbin/cyrdeliver -f $SENDER -a $USER -m user.postmaster"

In diesem Beispiel werden E-Mails an den lokalen IMAP-Server CyrusIMAPd zugestellt.

Spam landet in dem entsprechenden Spam-Ordner zur Mailbox.

Die RECIPIENT-Zeile bewirkt, dass eine Kopie aller Mails an den Benutzer postmaster geht.

Ich denke, das Beispiel gibt die wichtigsten Dinge wieder. Es gibt natürlich Spezialfälle wie die Zustellung an IMAP-Server wie Cyrus, Courier oder Dovecot. Hier gibt es entsprechende Schnittstellen, die sich einbinden lassen.

Will man procmail verwenden, sollte man das in seinem MTA (Postfix, Exim, Sendmail, etc.) konfigurieren. Ich nehme hier Postfix als Beispiel:

/etc/postfix/master.cf sollte folgende Zeilen enthalten:

procmail unix - n n - - pipe
flags=R user=cyrus argv=/usr/bin/procmail -o SENDER=${sender} -m USER=${user} EXTENSION=${extension} /etc/procmailrc

In der /etc/postfix/main.cf sollte folgender Eintrag stehen: mailbox_transport=procmail

Cyrus IMAPd mit mySQL - Installation

Thu, 07 Jun 2007 13:58:01 +0200

Vorbemerkung: Dieses Tutorial ist kombinierbar mit dem Postfix-Tutorial.

Erforderliche apt-Pakete bei Debian:

cyrus21-admin - Cyrus mail system (administration tool)
cyrus21-clients - Cyrus mail system (test clients)
cyrus21-common - Cyrus mail system (common files)
libauthen-sasl-cyrus-perl - Perl extension for Cyrus SASL library
libauthen-sasl-perl - Authen::SASL - SASL Authentication framework
libsasl2-2 - Authentication abstraction library
libsasl2-modules
libsasl2-modules-sql
sasl2-bin

apt-get install cyrus21-admin cyrus21-clients cyrus21-common libauthen-sasl-cyrus-perl libauthen-sasl-perl libsasl2-2 libsasl2-modules libsasl2-modules-sql sasl2-bin

Erforderliche Pakete bei Gentoo:

cyrus-imapd
cyrus-imap-admin
cyrus-sasl

Ich empfehle folgende emerge-USE-Flags: crypt ldap mbox mysql pam pam-mysql sasl ssl tcpd

USE="crypt ldap mbox mysql pam pam-mysql sasl ssl tcpd" emerge -av ...

Die beiden wichtigsten Konfigurationsdateien sind: /etc/imapd.conf und /etc/cyrus.conf

Die wichtigsten Parameter der /etc/imapd.conf:
lmtp_downcase_rcpt: yes #Groß- und Kleinschreibung beachten
admins: cyrus #welcher Benutzer darf den Server ohne Einschränkungen verwalten?
imap_admins: cyrus #welcher Benutzer darf Postfächer ohne Einschränkungen verwalten?
allowanonymouslogin: no #Anonymer Login nicht möglich!

Authentifizierungsoptionen in /etc/imapd.conf:
allowplaintext: yes #Klartext-Authentifizierung generell mögl.?
sasl_pwcheck_method: auxprop #mysql wird über auxprop angesprochen
sasl_auxprop_plugin: sql #auxprop-Plugin benennen
sasl_sql_hostnames: localhost
sasl_sql_database: postfix
sasl_sql_user: username
sasl_sql_passwd: password
sasl_sql_select: select password from users where login='%u' and status='1'

Die mySQL-Tabelle für die Benutzerauthentifizierung könnte analog zu dem Postfix-Tutorial so aussehen:

Die wichtigsten Parameter der /etc/cyrus.conf:
Im Bereich services sollten folgende Einträge nicht auskommentiert sein:
imap           cmd="imapd -U 30" listen="imap" prefork=0 maxchild=200
pop3           cmd="pop3d -U 30" listen="pop3" prefork=0 maxchild=25
lmtpunix         cmd="lmtpd" listen="/var/run/cyrus/socket/lmtp" prefork=0 maxchild=50

Hier kann mit maxchild die maximale Anzahl der Unterprozesse definiert werden.

Die eigentlichen E-Mails befinden sich je nach Distribution in /var/spool/imap bzw.
/var/spool/cyrus.

Die Executables befinden sich je nach Distribution in /usr/sbin oder /usr/lib/cyrus.

Wichtige Anmerkung:

Der Crypt-Support funktioniert bei Gentoo-Systemen, wenn crypt als Use-Flag verwendet wurde. Bei Debian-Systemen gibt es keinen crypt-Support.

Bei Gentoo kann man den Dienst nun noch mit "rc-update add cyrus default" in das Standard-Runlevel beim Systemstart hinzufügen.

E-Mails abrufen mit fetchmail

Wed, 06 Jun 2007 10:49:00 +0200

Hier gibt es eine Kurzanleitung für fetchmail. Mit fetchmail können Mails z.B. von einem POP3-Server abgeholt werden.

Sämtliche Einstellungen werden in der Datei .fetchmailrc gespeichert. Diese Datei sollte dann im home-Verzeichnis des jeweiligen Benutzers liegen.

Der Aufbau der Datei ist recht simpel. Ein Beispiel:

poll pop.example.com
proto pop3
user "test@example.com"
pass "pass"
is test
mda "/usr/bin/procmail -t"
nokeep
fetchall
no ssl

poll pop.example.com
Hier wird eine Verbindung zu dem Posteingangsserver pop.example.com hergestellt.

proto pop3
Hier wird das entsprechende Protokoll festgelegt. Mögliche Werte sind: pop3, pop2, imap.

Unterschied:
Mit POP3 werden die E-Mails vom Server abgeholt/heruntergeladen.
Bei IMAP liegen die E-Mails immer auf dem Server. Die meisten Provider unterstützen POP3, einige zusätzlich IMAP.

user "test@example.com"
Hier muß die E-Mail-Adresse angegeben werden.

pass "pass"
Hier wird das Passwort im Klartext eingetragen. Es sollte also später darauf geachtet werden, dass nicht jeder Benutzer die Datei lesen darf!

is test
Hier wird der Benutzername eingetragen. In vielen Fällen ist das die E-Mail-Adresse bis vor dem @-Zeichen.

mda "/usr/bin/procmail -t"

Dieser Punkt ist WICHTIG!. Hier wird eingetragen, ob die E-Mails nach dem Herunterladen an ein Programm oder einen Mailserver weitergegeben oder z.B. einfach an einen lokalen Benutzer gesendet werden.

Dazu einige Beispiele:

#Die E-Mail wird an procmail übergeben, ein vielseitiger Filter
mda "/usr/bin/procmail -t"

#Wird ein CyrusIMAP-Server verwendet, ist das neben procmail eine Möglichkeit, die E-Mails direkt an den Server weiterzugeben.
mda "/usr/sbin/cyrdeliver"

#Die E-Mail wird lokal an den Benutzer test zugestellt
#Die E-Mail läßt sich dann z.B. über den Befehl mail auf der Konsole abrufen.
mda test

nokeep
Diese Option weist fetchmail an, die Nachrichten herunterladen und danach vom Server zu löschen. Mögliche Werte sind: nokeep, keep. Mit der Option keep wird die Mail heruntergeladen, aber nicht gelöscht.

fetchall
Standardmäßig ruft fetchmail nur neue E-Mails ab. Mit dieser Option wird fetchmail angewiesen, alle Mails herunterzuladen, auch wenn diese schon einmal heruntergeladen wurden.

no ssl
Hier kann man angeben, ob man die E-Mails verschlüsselt abrufen möchte (muß vom Provider unterstützt werden). Mögliche Werte sind: no ssl, ssl

Damit die Mails nun auch regelmäßig abgerufen werden, gibt es 2 Möglichkeiten:

1. Aufruf als Daemon

Ein Beispiel:

/usr/bin/fetchmail -v -d 300 -L /var/log/fetchmail

Hier wird fetchmail als Daemon aufgerufen, der alle 300s bzw. 5min die E-Mails abholt.
Die Option -v (verbose mode) bedeutet, dass alle Meldungen in die Log-Datei ausgegeben werden. Standardmäß werden nur Fehler und Warnungen ausgegeben.
Mit der Option -L gibt man eine Log-Datei an.

2. Aufruf per Cron-Job
Mit dem Befehl

crontab -e

kann die sogenannte crontab des jeweiligen Benutzers editiert werden.

Wer den Editor vi nicht kennt, wird sich vermutlich mit der Handhabung etwas schwer tun. Mit a wechselt man in den INSERT mode und kann die Crontab bearbeiten. Danach ESC, :wq und mit ENTER bestätigen.

Die crontab könnte etwa so aussehen:

SHELL=/bin/bash
PATH=/sbin:/bin/:/usr/sbin/:/usr/bin
MAILTO=root
HOME=/
05 * * * * test /usr/bin/fetchmail -L /var/log/fetchmail

Die E-Mails werden hier alle 5 Minuten abgerufen. Die letzte Zeile schlüsselt man folgendermaßen auf:

Minute	0-59
Stunde	0-23
Tag-des-Monats	1-31
Monat	1-12 (oder Namen, siehe unten)
Wochentag	0-7 (0 oder 7 ist Sonntag oder Namen)

Liegt die Datei .fetchmailrc nicht im home-Verzeichnis des Benutzers test, muß hier mit der Option -f die Datei angegeben werden, z.B.:

05 * * * * test /usr/bin/fetchmail -f /home/users/fetchmail -L /var/log/fetchmail

Um die E-Mail-Benachrichtigung des Cron-Dienstes zu deaktivieren, entfernt man einfach den Benutzernamen hinter MAILTO. Diese Mails können auf Dauer recht nervig sein.

Weitere Infos bekommt man in den Manpages: man fetchmail

Debian: Kernel aktualisieren/installieren

Wed, 06 Jun 2007 10:48:08 +0200

apt-get,kernel-image,kernel,kernel-source,make-kpkg,dpkg,apt

Nachfolgend will ich ein paar einfache Methoden beschreiben, das Herzstück des Betriebssystems, den Kernel, zu aktualisieren!
Die aktuelle Version des Linux-Kernels kann man mit dem Befehl uname -a anzeigen.
Es gibt nun 3 Möglichkeiten:

1. Installation eines fertigen Kernel-Images:

Das ist wohl die einfachste Art, einen neuen Kernel zu installieren. Diese Variante kommt in Frage, wenn keine weiteren Anpassungen am Kernel vorgenommen, sondern einfach nur auf eine aktuellere Version aktualisiert werden soll:

Als erstes muß geprüft werden, welche aktuelle Kernel-Version verfügbar ist. Das geht z.B. mit dem Befehl

apt-cache search kernel-source

Die Installation erfolgt z.B. mit:

apt-get install kernel-image-2.6.13

Tja, das wars schon. I.d.R. übernimmt apt-get nun den Rest und erzeugt auch einen Eintrag in der /boot/grub/menu.lst bzw. /etc/lilo.conf entsprechend!

2. Installation eines angepassten Kernels:

Als Vorraussetzung gibt es noch einige Pakete, die installiert sein sollten: kernel-package, libncurses, gcc/g++, make

Als nächstes muß geprüft werden, welche aktuelle Kernel-Version verfügbar ist. Das geht z.B. mit dem Befehl

apt-cache search kernel-source

Hat man den neuen Kernel gefunden, installiert man als nächstes die Kernel-Sourcen, z.B. mit:

apt-get install kernel-source-2.6.13

Jetzt werden die Quellen entpackt:

cd /usr/src/
tar xfj kernel-source-2.6.13.tar.bz2
cd kernel-source-2.6.13

Jetzt geht es zur Kernel-Konfiguration. Eine einfache Methode ist, einfach die Konfiguration des alten Kernels zu übernehmen. Der Befehl uname (oben beschrieben) sollte Aufschluß darüber geben in welchem Verzeichnis sich die Konfiguration des aktuellen Kernels befindet. Ich nehme jetzt mal an, dass sich die aktuelle Version in dem Verzeichnis /usr/src/linux-2.6.8 befindet. Dann man man die aktuelle Konfiguration einfach mit dem folgenden Befehl übernehmen:

cp /usr/src/linux-2.6.8/.config /usr/src/linux-2.6.13

Die Konfiguration kann man nun noch anpassen. Hat man keine .config-Datei eines alten Kernels, muß man hier alle Menüpunkte Schritt für Schritt durchgehen.

make menuconfig

Jetzt wird ein Kernel-Paket erzeugt:

make-kpkg --initrd --revision custom --rootcmd fakeroot kernel_image

Statt custom kann hier eine beliebige Bezeichnung eingegeben werden, mit der man den Kernel beim Bootvorgang identifizieren kann.

Das Erstellen des .deb-Paketes kann nun je nach Rechnerleistung eine ganze Weile dauern.

Mit dem folgenden Befehl wird dann das fertige Paket installiert:

dpkg -i kernel_image-2.6.13-custom.deb

Abschließend fehlt eigentlich nur noch ein Befehl: reboot

3. Klassische Installation eines Kernels:

Die klassische Art, einen Kernel zu installieren - ihn zu konfigurieren, zu kompilieren und dann zu installieren - werde ich evtl. in einem anderen Artikel beschreiben.

Netzwerk Bonding

Wed, 06 Jun 2007 10:31:31 +0200

bonding,bond,network,modprobe,active-backup,balance-alb,balance-rr,broadcast,balance-xor,round-robin,bond0

Wie kann man die Netzwerkbandbreite eines Servers nochmal erhöhen? Wie kann ich den Ausfall einer Netzwerkkarte abfangen? Das Stichwort heißt BONDING.

Die folgende Anleitung habe ich mit Debian und Gentoo getestet. Mit anderen Distributionen sollte es analog funktionieren.

Vorraussetzung:
Damit das Ganze funktioniert, muß der Kernel das LoadBalancing unterstützen. Das entsprechende Kernelmodul heißt bonding.
Auf meinem Testsystem ließ sich das Modul mit

modprobe bonding

aktivieren.
Falls das nicht der Fall ist, muß ein neuer Kernel gebaut werden. Eine Anleitung f. Debian findet man auch im Tutorial-Bereich.

So geht's mit Gentoo und genkernel:

genkernel --menuconfig all

Folgendes muß bei der Auswahl der Kernelmodule aktiviert werden:

Device Drivers » Network device support » Bonding Driver support

Alternativ zu genkernel gibt es noch den üblichen Weg:

cd /usr/src/linux #hier entspr. Verzeichnis ausw., in dem sich die Kernel-Source befindet make menuconfig #Hier den Bonding Driver support aktivieren make && make modules_install

Wenn ein neuer Kernel installiert wird, muß danach noch der Bootloader aktualisiert werden. Bleibt es bei der Kernel-Version, ist das nicht notwendig.

Es gibt verschiedene Bonding-Modes:

802.3ad - IEEE 802.3ad dynamic link aggregation: In diesem Modus werden die Schnittstellen in einer Gruppe verwaltet, in der jeder Slave die gleiche Geschwindigkeit hat (d.h. es macht keinen Sinn mit 100MBit- und 1GBit-Karten zu arbeiten, da die schnellere Karte dann doch nur mit 100MBit fährt). Dieser Standard sollte von dem verwendeten Switch unterstützt werden.

active-backup: Hier ist immer nur ein Slave aktiv. Fällt einer aus, wird der nächste aktiviert.

balance-alb - adaptive load balancing: Dieser Modus funktioniert nicht mit jeder Netzwerkkarte (im Fehlerfall schlägt die Funktion "dev_set_mac_address" fehl; der Netzwerktreiber sollte das Verändern der MAC-Adresse unterstützen). balance-alb beinhaltet balance-tlb. Eingehender Traffic wird verteilt.
Diesen Modus habe ich in in diesem Tutorial verwendet, da ich ihn neben round-robin zu er effektivsten Methode halte.

balance-rr - round-robin: Dies ist die wohl bekannteste Art des Loadbalancings. Die Slaves erhalten die Daten abwechselnd.

balance-tlb: Ausgehender Traffic wird entsprechend der aktuellen Auslastung auf jeden Slave vereilt. Ankommender Traffic wird von dem aktuellen Slave empfangen. Nur im Fehlerfall übernimmt ein anderer Slave die MAC-Adresse und empfängt die Daten.

balance-xor: Dieser Modus ist nur als "Failover" geeignet. Er bietet kein Loadbalancing.

broadcast: Alle Daten werden an alle Slaves auf einmal gesendet. Das erhöht zwar die Fehlertoleranz, aber auch den Netzwerk-Traffic.

Debian:
In der Datei /etc/modprobe.d/arch/i386 ist nun folgender Eintrag vorzunehmen:

alias bond0 bonding options bond0 mode=balance-alb miimon=100 #miimon das Monitoring-Interval in Millisekunden

In /etc/network/ sollte nun fuer das neue Interface folgender Eintrag gemacht werden (die Adressen sind natürlich entsprechend anzupassen):

auto bond0 iface bond0 inet static address 192.168.96.10 netmask 255.255.255.0 network 192.168.96.0 broadcast 192.168.96.255 gateway 192.168.96.1 up /sbin/ifenslave bond0 eth0 eth1

Gentoo:
In der Datei /etc/conf.d/net gibt es bereits einen Bonding-Bereich. Dieser Bereich muß nur noch angepasst werden:

slaves_bond0="eth0 eth1" config_bond0=("null") depend_bond0() { need net.eth0 net.eth1 }

Die Netzwerkschnittstellen eth0 und eth1 müssen natürlich entsprechend konfiguriert sein.

Damit das Interface nach einem Neustart hochgefahren wird, habe ich nun in /etc/init.d ein Skript net.bond0 angelegt.

Es gibt noch ein Tool mit dem Namen ifenslave. Damit kann man das bond-Interface verwalten. Es läß sich per apt-get bzw. emerge installieren. Ich habe es bei meinen Tests nicht benötigt.

Reboot #das wars

Gentoo: System- und Sicherheitsupdates

Wed, 06 Jun 2007 10:29:38 +0200

gentoo,gentoolkit,emerge,glsa-check,glsa,sync,pretend,deep,update,world

GENTOO: Installation von Sicherheitsupdates
Vorraussetzung: gentoolkit sollte installiert sein (emerge gentoolkit)

glsa-check -t all #Sicherheitsupdates suchen
glsa-check -p $(glsa-check -t all) #Prüfen, welche Pakete er installieren würde
glsa-check -f $(glsa-check -t all) #ALLE Installieren
#oder einzeln glsa-check -f gefolgt von der Nr., z.B. 200608-15

GENTOO: System-Update

emerge --sync #Portage tree aktualisieren
emerge --pretend --deep --update world #zuerst pruefen, ob laufende Prozesse betroffen und welche Pakete installiert werden
emerge --deep --update world #wenn ok, Updates installieren

Einrichtung eines Software-Raids mit mdadm

Wed, 06 Jun 2007 10:21:33 +0200

mdadm,md,raid1,raid,mknod,mkefs

Ich gehe in dem nachfolgenden Beispiel von einem Raid1 (Mirroring) aus. Der entsprechende Modus muß natürlich vom Kernel unterstützt werden.

Die Installation von mdadm:

Gentoo:

emerge mdadm
rc-update add mdadm default
/etc/init.d/mdadm start

Debian/Ubuntu:

apt-get install mdadm

RedHat/Fedora:

yum install mdadm

Installiert man ein neues System kann man das Raid-Modul mit modprobe raid1 aktivieren.

Bei der Partitionierung der eigentlichen Disks ist darauf zu achten, dass die Partitionen nicht wie üblich vom Typ 83 (Linux) sind, sondern den Typ fd (Raid autodetect) haben.

Beispiel:
/dev/hda1  -  /dev/hdb1  »  /dev/md1  »  /boot
/dev/hda2  -  /dev/hdb2  »  /dev/md2  »  /
/dev/hda3  -  /dev/hdb3  »  /dev/md3  »  /home
/dev/hda4  -  /dev/hdb4  »  /dev/md4  »  /var

Nun werden zuerst entsprechend 4 Nodes angelegt:

mknod /dev/md1 b 9 1
mknod /dev/md2 b 9 2
mknod /dev/md3 b 9 3
mknod /dev/md4 b 9 4

Nun können die Raid-Devices erstellt werden:

mdadm --create --verbose /dev/md1 --level=1 --raid-devices=2 /dev/hda1 /dev/hdb1
mdadm --create --verbose /dev/md2 --level=1 --raid-devices=2 /dev/hda2 /dev/hdb2
mdadm --create --verbose /dev/md3 --level=1 --raid-devices=2 /dev/hda3 /dev/hdb3
mdadm --create --verbose /dev/md4 --level=1 --raid-devices=2 /dev/hda4 /dev/hdb4

Danach werden die Laufwerke erst einmal synchronisiert. Den Status kann mit watch cat /proc/mdstat beobachten.

Ist die Synchronisierung abgeschlossen, können die Laufwerke formatiert werden:

mke2fs -j /dev/md1
mke2fs -j /dev/md2
mke2fs -j /dev/md3
mke2fs -j /dev/md4

Alle gemachten Einstellungen sollten nun auf jeden Fall noch gespeichert werden:

mdadm --detail --scan >> /etc/mdadm.conf

(Der Pfad kann je nach Betriebssystem variieren, auf einigen Systemen ist es /etc/mdadm/mdadm.conf)

Jetzt sollten die neuen Raid-Devices noch die /etc/fstab eingetragen werden.

Somit sollte das Raid jetzt funktionieren!

Die Datei /etc/fstab

Tue, 05 Jun 2007 22:17:14 +0200

fstab,etc,proc,mounts,dateisystem,optionen,dump,check,mtab,defaults,noauto,user,ro,exec,sync

In der Datei /etc/fstab befinden sich alle Geräte (Festplatten, CDROM/DVD-Laufwerke, etc.), die im System eingebunden werden.

Ein Beispiel:

# Root-Dateisystem
/dev/hda1    /            ext2         defaults       1   1
# Das Verzeichnis /var erhält eine eigene Partition
/dev/hdb2    /var         ext2         defaults       1   2
# Die Swap-Partition
/dev/hda3    swap         swap         defaults       0   0
# ATAPI-Cdrom und Disketten-LW
/dev/hdc     /cdrom       iso9660      ro,noauto,user 0   0
/dev/fd0     /floppy      auto         noauto,user    0   0
# Das Prozessdateisystem
proc         /proc        proc         defaults       0   0

Die Zeilen sind wie folgt aufgebaut:

das einzubindende Laufwerk
der Pfad zum Verzeichnis, in welches gemountet wird (Mountpoint)
das Dateisystem
die Optionen, mit welchen das System gemountet werden soll (z.B. Benutzerrechte)
Dump ist nur für das Dateisystemtyp ext2 relevant.
Check Gibt an, ob das Dateisystem vor dem Mounten zu überprüfen ist. Beim Root-Dateisystem sollte hier eine "1" stehen und bei allen anderen entweder eine "0" (keine Prüfung) oder eine "2". Dateisysteme mit gleicher Nummer werden parallel überprüft, das Root-Dateisystem sollte immer allein und als erstes getestet werden.

Die verfügbaren Optionen zu 4):

defaults für Voreinstellungen (rw, suid, auto, nouser...)
noauto für Kein automatisches Mounten beim Booten
user für Device darf von normalen Nutzern gemountet werden
ro, rw für read only, read write
exec für Ausführung von Binaries gestattet
sync für Ungepuffertes Schreiben