Kürzlich ärgerte ich mich wieder einmal über die monatliche Reaktivierung, die man bei seinem kostenlosen DyDNS-Hoster wie z.B. dyndns.com oder noip.com vornehmen muss.
Deshalb recherchierte ich ein bisschen über Lösungen und kam dann darauf, dass, wenn man bereits einen eigenen Nameserver und Webserver mit statischer IP hat, man daraus ganz einfach seinen eigenen „DynDns-Dienst“ machen kann! 😉
Hier die Beschreibung wie das geht.
Bei sensiblen Web-Applikation wie die für das Verwalten des Mailservers (z.B. postfixadmin) oder welche die Zugriff auf die Datenbanken haben (z.B. phpmyadmin) sollte man sich nicht nur auf die Sicherheit der Applikation verlassen und stattdessen zusätzlich eine Authentifizierung über den Webserver (.htaccess) vornehmen.
Hierzu gibt es grundsätzlich zwei Möglichkeiten: Authentifizierung über die IP-Adresse und über eine HTTP-Passwortabfrage.
Doch während die erstere den Nachteil hat unflexibel zu sein (z.B. kein Zugriff mehr wenn man mal von einem Internet-Cafe dringend darauf zugreifen muss), müsste man bei zweitem immer zweimal einloggen: Einmal über die HTTP-Authentifizierung und einmal über die Web-Applikation selbst.
Doch zum Glück lassen sich diese zwei Mechanismen kombinieren, so dass man bei bekannten IPs ohne vorgängige Passwort-Abfrage direkt zum Web-Login kommt und bei „fremden“ IPs die Möglichkeit hat nach einer zusätzlichen HTTP-Authentifizierung die Web-Applikation zu erreichen.
Continue reading apache: Authentifizierung wahlweise über IP oder HTTP-AuthMittels der mysql Datenbank-Replizierung kann man eine automatisch aktualisierende Kopie einer oder mehreren Datenbanken auf einem anderen Server haben.
Dies hat zwei grosse Vorteile:
mysql sieht vor, dass es einen sog. "Master" Server gibt auf dem die Datenbanken verwaltet werden und ein- oder mehrere "Slave"-Server die immer eine aktuelle Kopie tragen. Allerdings ist es normalerweise nicht möglich updates auch auf dem slave-server zu machen, d.H. die slave server sind eigentlich nur für LESE-, nicht aber für Schreibzugriffe da.
Die Funktionsweise geht so, dass der MASTER-Server sämtliche Anweisungen in ein sog. binlog (mysql-bin) schreibt und an die SLAVES sendet. Der SLAVE schliesslich entscheidet mittels des Parameters "replicate-do-db", welche Datenbanken er repliziert.
Zuerst setzen wir in der my.cnf des Master-Hosts die folgenden Optionen:
[mysqld] max_allowed_packet = 16M server-id = 1 log-bin = mysql-bin expire_logs_days = 7 max_binlog_size = 100M innodb_flush_log_at_trx_commit = 1 sync_binlog = 1 auto_increment_increment = 1 auto_increment_offset = 1 |
Und startet diesen (neu).
[stextbox id=“note“ caption=“Hinweis: server-id“]Die server-id kann eine beliebige Zahl sein, sie muss aber bei jedem Server unterschiedlich sein.
Damit man also nicht ausversehen zwei hosts die gleiche server-id zuweist, nimmt man am besten dessen IP-Adresse, entfernt die Punkte und nimmt das als server-id.
Wenn also z.B. ein Server die IP-Adresse: 192.168.1.100 hat, dann wäre dessen server-id: 1921681100[/stextbox]
Nun wird ein Benutzer für den slave angelegt:
[root@MASTER ~]# mysql -uroot -p mysql> GRANT REPLICATION SLAVE ON . TO 'slave'@'%' IDENTIFIED BY 'topsecret'; |
Auf dem slave müssen die folgenden Optionen gesetzt werden:
[mysqld] server-id = 2 relay-log = mysqld-relay-bin report-host = slave-server01 auto_increment_increment = 2 auto_increment_offset = 2 replicate-do-db = DB1 replicate-do-db = DB2 slave_max_allowed_packet = 16M read_only = 1 |
[stextbox id=“note“ caption=“Hinweise“]
auto_increment_increment und auto_increment_offset
Diese Parameter sollten idealerweise einen anderen Wert haben als alle anderen Server, da es sonst Probleme bei den AUTO-INCREMENT Werten geben könnte.
replicate-do-db
Hier wird angeben welche Datenbanken repliziert werden.
ACHTUNG: Für jede Datenbank muss zwingend eine neue Zeile verwendet werden! So etwas wie: „replicate-do-db = DB1, DB2“ würde nicht funktionieren!
slave_max_allowed_packet
Dieser Wert darf beim slave nicht kleiner sein als die Einstellung: read_buffer_size auf dem Server, sonst kann es zu Problemen kommen[/stextbox]
Nun kann man auch den slave starten.
Allerdings müssen nun zuerst die Initial-Daten auf den SLAVE geladen werden.
Dazu erstellen wir auf dem master ein mysqldump:
[root@MASTER ~] mysqldump -uroot -p --master-data --databases DB1 DB2 > slave.sql |
Dieses slave.sql wird nun auf den SLAVE Server kopiert und eingespielt, nachdem zuvor die SLAVE-Replikation gestoppt wurde:
[root@SLAVE ~] mysql -uroot -p mysql> SLAVE STOP; mysql> quit [root@SLAVE ~] mysql -uroot -p < slave.sql [root@SLAVE ~] mysql -uroot -p mysql> CHANGE MASTER TO MASTER_HOST='master-server', MASTER_USER='slave', MASTER_PASSWORD='topsecret'; mysql> SLAVE START; mysql> SHOW SLAVE STATUS \G; mysql> quit |
Im SLAVE STAUS kann man nun sehen ob die Replikation läuft:
Slave_IO_Running: Yes Slave_SQL_Running: Yes |
[stextbox id=“note“ caption=“Slave-Replikation kaputt?“]Es kann ab und zu vorkommen, dass die Replikation auf den slave nicht mehr funktioniert.
Dann reicht es aber, den letzten Schritt (mysqldump auf master laden und auf slave einspielen) zu wiederholen und alles sollte wieder laufen.
Falls das nicht funktioniert muss man auf dem master vor dem dump die Tabellen locken:
[root@SLAVE ~] mysql -e 'slave stop;' [root@MASTER ~] mysql -uroot -p mysql> FLUSH TABLES WITH READ LOCK; mysql> SHOW MASTER STATUS \G mysql> SYSTEM mysqldump -uroot -p --master-data --databases DB1 DB2 > slave.sql mysql> UNLOCK TABLES; mysql> quit |
Danach auf dem slave einfügen und MASTER_LOG_FILE / MASTER_LOG_POS mit den Werten aus der Ausgabe vom master füllen:
[root@SLAVE ~] mysql -uroot -p < slave.sql [root@SLAVE ~] mysql -uroot -p mysql> CHANGE MASTER TO MASTER_HOST='master-server', MASTER_USER='slave', MASTER_PASSWORD='topsecret', MASTER_LOG_FILE='mysql-bin.000000', MASTER_LOG_POS='00000000'; mysql> SLAVE START; mysql> SHOW SLAVE STATUS \G mysql> quit [root@SLAVE ~] mysql -e 'show slave status\G' |
[/stextbox]
Hat man mehrere slaves und einer fällt aus der Synchronisation (etwa weil ausersehenen auf den slave geschrieben wurde), kann man diesen von einem anderen klonen:
[root@SLAVE1 ~] systemctl stop mysql [root@SLAVE1 ~] cp -pvR /var/lib/mysql /var/lib/mysql.bak [root@SLAVE1 ~] rsync -ahv --delere slave2:/var/lib/mysql/ /var/lib/mysql/ [root@SLAVE1 ~] cp -v /var/lib/mysql.bak/data/auto.cnf /var/lib/mysql.bak/data/auto.cnf [root@SLAVE1 ~] systemctl start mysql |
[stextbox id=“warning“ caption=“Achtung gleiche UUID“]
Nebst der server_id, welche einen slave eindeutig kennzeichnet, generiert mysql noch eine UUID für jeden slave, welche in der Datei: auto.cnf im mysql Datenverzeichnis abgelegt wird.
Diese darf beim synchronisieren nicht mit kopiert-, bzw. muss danach entweder gelöscht (danngeneriert mysql eine neue) oder vom Backup rüber kopiert werden.
Ansonsten bekommt man die Meldung: „Slave I/O thread: Failed reading log event“.
[/stextbox]
Physical Volumes haben sich als praktischen Standard für das Volume Management etabliert.
Doch irgendwann ist die zugrunde liegende Disk voll und muss vergrössert werden, was in virtuellen Umgebungen ganz einfach ist.
Für die nachfolgende Vergrösserung der Physical Volumes gibt es verschiedene Vorgehensweisen, welche hier beleuchtet werden.
Continue reading LVM: Physical Volume vergössernManchmal merkt man, dass man eine Disk „zu viel“ in der VG hat und diese anderweitig verwenden möchte.
Mittels pvmove kann man die Daten von einer Disk (physical volume) auf andere in der gleichen volume group (VG) verschieben, danach kann man mittels vgreduce die Disk aus der VG entfernen und schliesslich mit pvremove das physical volume komplett entfernen.
Das ganze sieht so aus:
pvmove /dev/sdX vgreduce <volume_group> /dev/sdX pvremove /dev/sdX |
Achtung: Möchte man danach die Festplatte im laufenden Betrieb „physisch“ aus dem System entfernen, muss man vorher ebenfalls die System-Referenzen entfernen!
Diese Kommandos dienen zum erstellen von CSRs, Zetifikaten, PrivateKeys und anderen verschiedenen Dingen.
openssl genrsa -out example.com.key 4096openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crtopenssl req -out CSR.csr -key privateKey.key -newSiehe dazu auch: SSL CSR erstellen für weitere Optionen, wie z.B: ein CSR für ein SAN Zertifikat.
Hat man keinen CSR zum ursprünglich angelegten Zertifikat mehr, lässt sich das einfach aus dem bisherigen Zertifikat und Key erstellen:
openssl x509 -x509toreq -in certificate.crt -signkey privateKey.key -out $CSR.csr openssl rsa -in privateKey.pem -out newPrivateKey.pemopenssl req -new -newkey rsa:4096 -nodes -keyout www.example.com.key -out www.example.com.csr -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com"openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com" -keyout www.example.com.key -out www.example.com.crtZertifikate, CSRs oder PrivateKeys überpüfen:
openssl req -text -noout -verify -in CSR.csropenssl rsa -check -in privateKey.keyopenssl x509 -text -noout -in certificate.crtopenssl x509 -enddate -noout -in certificate.crt
openssl x509 -subject -noout -in certificate.crtopenssl pkcs12 -info -in keyStore.p12Falls man einen Fehler bekommt wie: „private doesn’t match the certificate“ oder einem installierten Zertifikat wird nicht vertraut, dann kann man das mit diesem Kommandos herausfinden.
openssl x509 -noout -modulus -in certificate.crt | openssl md5; openssl rsa -noout -modulus -in privateKey.key | openssl md5; openssl req -noout -modulus -in CSR.csr | openssl md5(alle md5-summen müssen gleich sein)
openssl s_client -connect www.paypal.com:443 Hinweis: Bei der Verwendung von name based virtualhosts mittels SNI muss zusätzlich noch der Parameter -servername angefügt werden: openssl s_client -servername www.paypal.com -connect www.paypal.com:443
Mit den folgenden Kommandos kann man Zertifikate und Schlüssel in andere Format konvertieren um diese mit spezifischen Server- und Software- typen kompatibel zu machen.
z.B. eine normale PEM Datei, welche mit apache funktionieren würde in eine PFX (PKCS#12) Datei umwandeln und mit Tomcat oder IIS zu benutzen.
openssl x509 -inform der -in certificate.cer -out certificate.pemopenssl x509 -outform der -in certificate.pem -out certificate.deropenssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes(You can add -nocerts to only output the private key or add -nokeys to only output the certificates)
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crtQuelle: SSLShopper: The Most Common OpenSSL Commands
Mit den nachfolgenden Befehlen kann man schnell eine CA erstellen udn damit ein Zertifikat signieren:
# Key erstellen
openssl genrsa -out ca.key 2048
# Root-CA Zertifikat mit diesem key erstellen
openssl req -x509 -new -nodes -key ca.key -sha256 -days 1024 -out ca.crt
## Zertifikat für domain: "example.org" erstellen
# Key für cert erstellen:
openssl genrsa -out example.org.key 2048
# CSR mit diesem key erstellen
openssl req -new -key example.org.key -out example.org.csr
# Zertifikat erstellen und mit der Root-CA signieren:
openssl x509 -req -in example.org.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out example.org.crt -days 500 -sha256
Wenn man in bash aliase anlegt kannt man die, doch recht schwierig zu merkenden Kommandos abkürzen:
alias csrview='openssl req -text -noout -verify -in'
alias crtview='openssl x509 -text -noout -in'
alias sslkeygen='openssl genrsa 4096 -out'Diese Scripts kann man im ~/bin/ Verzeichnis ablegen zum einfachen aufrufen.
checkcert
Zeigt die Checksummen von KEY, CRT und CSR an, damit man sofort sieht ob diese zusammenpassen.
#!/bin/bash
DOMAIN=$1
if [ -z "$DOMAIN" ]; then
echo "usage: $0 <domain.tld>"
exit 1
fi
if [ "$DOMAIN" != "" ]; then
if [ -f $DOMAIN.crt ]; then
echo -n "CRT: "; openssl x509 -noout -modulus -in $DOMAIN.crt | openssl md5
fi
if [ -f $DOMAIN.key ]; then
echo -n "KEY: "; openssl rsa -noout -modulus -in $DOMAIN.key | openssl md5
fi
if [ -f $DOMAIN.csr ]; then
echo -n "CSR: "; openssl req -noout -modulus -in $DOMAIN.csr | openssl md5
fi
fiWill man unter Linux eine Disk „hot removen“, also im laufenden Betrieb herausziehen, muss man danach auch die Referenzen auf das Device entfernen.
Macht man dies nicht und „reisst die Disk einfach heraus“, erhält man solche unschönen Fehler im messages log, bzw. mit dmesg:
end_request: I/O error, dev sdd, sector 209715192 sd 0:0:3:0: SCSI error: return code = 0x00010000 end_request: I/O error, dev sdd, sector 0 sd 0:0:3:0: SCSI error: return code = 0x00010000 end_request: I/O error, dev sdd, sector 0 |
oder im LVM:
[root@server ~]# vgs /dev/sdd: read failed after 0 of 4096 at 0: Input/output error VG #PV #LV #SN Attr VSize VFree [...] |
Um die Festplatte im laufenden Betrieb richtig entfernen zu können, muss man nebst dem obligatorischen korrektem unmounten / aus der VG removen / pvremove / usw. folgendes tun um die System-Referenz auf das Device entfernen:
echo 1 > /sys/block/<DEVICE>/device/delete |
Wobei <DEVICE> hier mit dem Device-Namen ersetzt werden muss, in unserem Fall z.b. „sdd“.
Man kann diese Prozedur im übrigen auch machen, wenn man die Festplatte schon heraus gezogen hat, um diese Meldungen verschwinden zu lassen. (:wink:)
Häufig möchte man bei Script- oder Programm Ausgaben, diese komplett, also stdout und stder in ein file oder /dev/null Umleiten.
Dazu existieren häufig falsche annahmen, wie z.B. script.sh 2>&1 /dev/null, was falsch ist.
Richtigerweise muss man zuerst die Ausgabe Umleiten und dann stderr auf stdout schreiben lassen, was mit dem & in der Form: 2>&1 geht.
Praktisch sieht das dann so aus:
script.sh > /dev/null 2>&1
Es gibt aber sogar noch einen eleganteren Weg mit &> um stdout und stderr gleichzeitig umzuleiten:
script.sh &> combined.logDiese Referenz soll dazu dienen, um sich mit einem SMTP-Server zu verständigen, etwa wenn man mal ein mail über telnet schicken will… 😉
Nach dem verbinden mit telnet mail.example.org 25, meldet sich der SMTP-Dämon mit einer Statuszeile:
220 Welcome blabla...Alle Meldungen beginnen mit einer dreistelligen Zahl, deren erste Ziffer angibt, ob die Aktion erfolgreich war oder nicht. 2 steht für Erfolg.
Jetzt identifiziert sich der Sender mit HELO (SMTP) oder EHLO (ESMTP):
EHLO <hostname>Nun antwortet der Server:
2xx OKxx steht dabei für zwei Ziffern.
Ab hier muss man sich mittlerweile bei den meisten Mailservern Authentifizieren, dass die Mail angenommen wird:
AUTH LOGINDer Server erwartet nun Benutzername und Passwort, jeweils BASE64 Codiert (base64 Encoder)
334 USER <Base64_codierter_Benutzername>
334 PASS <Base64_codiertes_Passwort>Nach erfolgreichem authentifizieren bestätigt der Server dies:
235 OKDer Sender übergibt die Envelope-Adresse des Absenders:
MAIL FROM: <user@example.org>Der Server bestätigt dies mit:
2xx OKJetzt werden die Envelope-Adressen der Adressaten übergeben:
RCPT TO: <user@example.net>Der Server bestätigt dies wieder mit:
2xx OKDies wiederholt sich für alle Adressaten. Nun kann die Mail selber verschickt werden:
DATA
From: user@example.org
To: user@example.net
hallo
.Eine Zeile mit einem einzelnen Punkt beendet die Mail (ist aber selbst nicht Teil der Nachricht). Der Server antwortet:
2xx Message accepted for delivery.Nun kann eine weitere Mail durch Angabe der Envelope-Adressen verschikt werden, oder aber die Verbindung wird beendet durch:
QUITund der Server antwortet etwa:
221 blabla closing connection.Bei diesem einfachen SMTP-Dialog ist insbesondere zu beachten, daß ausschließlich druckbare ASCII-Zeichen (also auch keine Umlaute) übertragen werden können. Dies ist erst möglich im erweiterten ESMTP; dort muß zwar der ESMTP-Dialog selbst ebenso wie die Header der Mail aus druckbaren ASCII-Zeichen bestehen, allerdings darf der Text der Mail beliebige Zeichen enthalten.
ESMTP wird statt mit HELO mit EHLO eingeleitet, darauf antwortet der Dämon mit einer Liste der zusätzlich verstandenen Kommandos/Features:
220 mail.Uni-Mainz.DE ESMTP Sendmail 8.8.4/8.8.4; Mon, 13 Jan 1997 15:03:46 +0100 (MET)
ehlo roquefort.zdv.uni-mainz.de
250-mail.Uni-Mainz.DE Hello roquefort.zdv.Uni-Mainz.DE [134.93.8.119], pleased to meet you
250-EXPN
250-VERB
250-8BITMIME
250-SIZE
250-DSN
250-ONEX
250-ETRN
250-XUSR
250 HELPVersteht der Server nur SMTP, so antwortet er einer Fehlermeldung, worauf der Sender nun doch ein HELO schickt:
220 vm.gmd.de running IBM VM SMTP V2R2 on Mon, 13 Jan 97 15:04:47 +0100
ehlo roquefort.zdv.uni-mainz.de
500 Unknown command, 'ehlo'
helo roquefort.zdv.uni-mainz.de
250 vm.gmd.de is my domain name.Mit dem addon sieve können Serverseitige Mail filter erstellt werden.
Muss man mal den sieve Server testen, so geht dies natürlich auch via telnet:
AUTHENTICATE "PLAIN" "<base64-encoded credentials>"OK "Logged in."LISTSCRIPTS
"managesieve" ACTIVE
OK "Listscripts completed."GETSCRIPT "managesieve"{6}
keep;
OK "Getscript completed."Wenn SSL ins Spiel kommt (was heutzutage eigentlich immer der Fall ist 😉 ), wird es schwieriger, da sich die clients in diesem Falle ja verschlüsselt unterhalten und kaum jemand diese „Sprache“ beherrschen wird. 😀
Glücklicherweise gibt es dafür im openssl Programm eine Option, welche die Verschlüsselung transparent macht:
openssl s_client -starttls smtp -connect mail.example.org:587 -crlf -ign_eofZwischen -starttls und -connect wird das Protokoll angegeben.
openssl unterstützt derzeit die Protokolle „smtp“, „pop3“, „imap“, „ftp“, „xmpp“, „xmpp-server“, „irc“, „postgres“, „lmtp“, „nntp“, „sieve“ und „ldap“
Manchmal macht es Sinn gewisse Seiten oder Unterseiten automatisch auf eine SSL Seite umzuleiten, etwa: "webmail.example.com" oder "myshop.example.com/bestellung/"
Dies geht ganz einfach mit einer .htaccess Direktive, oder alternativ global ein einem apache config file (bei Debian z.B.: /etc/apache2/conf.d/ssl-redirect.conf )
Continue reading apache: Automatische SSL Umleitung