Der perfekte Rootserver (Nginx, SSL, Mailserver, Roundcube, phpMyAdmin, Firewall)

Page 3 of 26

08/12/2014 14:37 Der Anbieter#31

Quote:

Originally Posted by -_Robben_-

/usr/bin/php5 -q /var/www/htdocs/froxlor/scripts/froxlor_master_cronjob.php --force
mkdir: cannot create directory `/etc/bind/domains/': No such file or directory
PHP Warning: fopen(/etc/bind/domains/comvice.org.zone): failed to open stream: No such file or directory in /var/www/htdocs/froxlor/scripts/jobs/cron_tasks.inc.dns.10.bind.php on line 146
PHP Warning: fwrite() expects parameter 1 to be resource, boolean given in /var/www/htdocs/froxlor/scripts/jobs/cron_tasks.inc.dns.10.bind.php on line 147
PHP Warning: fclose() expects parameter 1 to be resource, boolean given in /var/www/htdocs/froxlor/scripts/jobs/cron_tasks.inc.dns.10.bind.php on line 148
PHP Warning: fopen(/etc/bind/froxlor_bind.conf): failed to open stream: No such file or directory in /var/www/htdocs/froxlor/scripts/jobs/cron_tasks.inc.dns.10.bind.php on line 104
PHP Warning: fwrite() expects parameter 1 to be resource, boolean given in /var/www/htdocs/froxlor/scripts/jobs/cron_tasks.inc.dns.10.bind.php on line 105
PHP Warning: fclose() expects parameter 1 to be resource, boolean given in /var/www/htdocs/froxlor/scripts/jobs/cron_tasks.inc.dns.10.bind.php on line 106
sh: /etc/init.d/bind9: No such file or directory

Hat jemand eine Idee?

Code:

apt-get install bind9

Mfg

09/10/2014 19:31 Tulskie#32

Danke erstmal f�r das Howto.
Eine Frage h�tte ich da noch.
F�r WBB4 brauche ich eine andere Einstellung im Vhost.

Im Moment steht da location ~ \.php$ {
try_files $uri =404;
fastcgi_split_path_info ^(.+\.php)(/.+)$;

Ich ben�tige aber location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
if (!-f $document_root$fastcgi_script_name) {
return 404;
}
Kann mir jemand helfen wie ich das in die Vhost Dateien bekomme? Manuell �ndern bringt nichts da Froxlor die ja immer wieder �berschreibt.

LG
Tulskie

Keiner eine Idee?
In die Eigene vHost-Einstellungen: eintragen wollte ich gerne vermeiden.

09/14/2014 15:45 msiws#33

Hallo,
erstmal ein Danke an dieses sch�ne HowTo, aber...
Ich bin nun auch seit 3 Tagen dran, den Froxlor zum laufen zu bringen.
Erst sah es ja ganz gut aus, doch nachdem ich dann im Froxlor den locrotate und cron ausgef�hrt habe, ging nichts mehr. Meldung 502 und im nginx-errorlog die duplicate meldung, sowie bei restart von nginx der nginx failed.
Kann es sein, das die neue Version vom Froxlor doch andere Einstellungen ben�tigt oder �berschreibt oder anders konfiguriert werde muss als es in dem tutorial beschrieben ist? Oder gibt es schon eine neue Beschreibung? April ist ja nun doch schon l�nger her..:D

10/06/2014 21:23 Hotstyle#34

Moin Moin,

kann mir vlt. jemand helfen? Ich hab die Anleitung bestimmt schon gef�hlte 12x durchgearbeitet auf einem KVM Server. Auf das Froxlor interface komme ich rauf, sehe aber das er die jobs rechts nicht durchf�hrt die noch offen sind.

Sobald ich den Server neustartet bekomme ich beim wegzugriff immer 502 Bad Gateway, der einzige weg das ich das Froxlor interface wieder erreichen kann ist

/usr/bin/php5 -q /var/www/htdocs/froxlor/scripts/froxlor_master_cronjob.php --force

in der shell auszuf�hren. Aber dann startet er nur das Webinterface und die Cronjobs werden wieder nicht ausgef�hrt.

Fehlt da was in der Anleitung oder mach ich etwas falsch?

K�nnte mir einer vlt. helfen.

Vielen Dank :-)

10/16/2014 02:21 DjDune86#35

Also die Anleitung funktioniert mal gar nicht :( Schade eigentlich wirklich! Stehe n�mlich gerade vor dem Unbrauchbaren Server.... den ich nun aber nutzen m�sste....

11/04/2014 20:08 Dissle#36

Ich hab dieses Tutorial auch mal ausprobiert. Nginx und Froxlor hatte ich bislang nie selbst ausprobierte, obwohl ich schon seit mindestens 10 Jahren Server besitze und Linux einsetze. Da ein weiterer Server dazukam, hab ich mir mal die M�he gemacht was anderes auszuprobieren.

Erstmal muss ich, trotz einige Fl�chtigkeitsfehler, den Thread-Ersteller loben. Super Tutorial, leider aber auch nicht unbedingt f�r komplette Volleinsteiger geeignet.

Gehen wir mal davon aus das man sich wirklich Debian 7 Minimal draufhaut. Und diese Anleitung Stepp-by-Stepp befolgt.

Dann soll man den folgenden Cronjob ausf�hren BEVOR man Bind9 installieren soll, was nat�rlich nicht geht, da dieser Bind9 vorraussetzt und es auch nicht vorinstalliert ist:

Code:

/usr/bin/php5 -q /var/www/htdocs/froxlor/scripts/froxlor_master_cronjob.php --force

Viel schwerwiegender ist allerdings das Problem das sich PHP-FPM nach einem System-Reboot nicht mehr ausf�hren l�sst. Was das f�r ein Problem darstellt, brauch ich ja nicht n�her ausf�hren. Das hier Anf�nger absolut �berfordert sind, brauch ich hoffentlich auch nicht extra erw�hnen.

Man k�nnte jetzt auch einfach sagen: RTFM (read the fucking manual)! Finde ich aber gut das man sich hier auf ein anderes Niveau begibt.

Ich habe es bei mir wie folgt gel�st:

Code:

sudo vim /etc/init.d/php-fpm-fix

Das einf�gen:

Code:

#!/bin/sh
#/etc/init.d/php-fpm-fix

runDirAlreadyExists=0

if [ ! -d "/var/run/nginx" ]
then
	mkdir -p /var/run/nginx
else
	runDirAlreadyExists=1
fi

if [ -f "/etc/init.d/php5-fpm" ] && [ ! -f "/etc/init.d/php-fpm" ]
then
	cp /etc/init.d/php5-fpm /etc/init.d/php-fpm
	chmod 755 /etc/init.d/php-fpm
fi

if [ $runDirAlreadyExists = 0 ]
then
	service nginx restart
	if /bin/ps ax | grep -v grep | grep "php-fpm" > /dev/null
	then
		service php5-fpm restart
	else
		service php5-fpm start
	fi
fi

if [ -f "/var/www/htdocs/froxlor/scripts/froxlor_master_cronjob.php" ]
then 
	/usr/bin/php5 -q /var/www/htdocs/froxlor/scripts/froxlor_master_cronjob.php --force
fi

exit 0

Abspeichern und noch folgendes ausf�hren um dem Script ausf�hrberechtigungen zu geben und es in den Autostart hinzuzuf�gen:

Code:

sudo chmod 755 /etc/init.d/php-fpm-fix
sudo update-rc.d php-fpm-fix defaults

("warning: /etc/init.d/php-fpm-fix missing LSB information" Das sollte keinen verunsichern, das Script wird dennoch funktionieren.)

Kurze Erkl�rung zum Script:
Das Script schaut nach ob der Ordner "/var/run/nginx" existiert und legt ihn ggf an, falls n�tig. Selbes gilt f�r die "/etc/init.d/php-fpm" Datei. Im Anschluss wird Nginx und PHP-FPM neugestartet, falls �nderungen vorgenommen wurden. Und ganz zum Schluss wird der Cronjob noch ausgef�hrt.

Hoffe es hilft jemanden, mir hats geholfen und PHP-FPM l�uft auch nach einem Reboot direkt.

11/04/2014 21:54 Zypr#37

Hallo Dissle,

erst einmal bin ich erstaunt, dass es immer noch User gibt, die sich die Anleitung in voller L�nge reinziehen und Anf�nger sich ggf. in den Wahnsinn treiben.. aber wer ein wenig mehr mit Linux gearbeitet hat, wei�, wie sich stundenlanges "googeln" anf�hlt.. ;D

Eins muss definitiv beachtet werden: Das Tutorial ist leider ziemlich outdated und m�sste �berarbeitet werden!

Ich habe es mir immer wieder vorgenommen, allerdings habe ich durch einen neuen Job relativ wenig Zeit und nutze diese lieber mit meiner Familie. Ich m�chte die Anleitung auf jeden Fall auf den aktuellsten Stand bringen, kann allerdings nichts versprechen und hoffe, dass die User sich bis dahin nicht all zu sehr die Z�hne ausbei�en.

Ansonsten w�nsche ich jedem viel Erfolg mit seinem Vorhaben! (:

01/03/2015 14:50 TakeThisBitch#38

Schade, das es nicht mehr gepflegt wird.

bei mir geht der start vom fpm auch nicht.

01/20/2015 22:00 ausgebaut#39

Kenne das Tutorial schon seit mehreren Monaten und es hat mir immer mal geholfen, vielen Dank daf�r! :)
Freue mich auf die neue Version. :D

01/21/2015 18:33 hi i am banned at epvp#40

Mir hat das Tutorial auch bei meinen ersten vServern sehr geholfen!
Freue mich jetzt schon auf die neue Version, da .interp sich bei der ersten schon extrem viel M�he gegeben hat und auch Heute noch vieles aus der alten Version leider bei den meisten "Admins" nicht standart ist bzw. der Schutz an letzter Stelle steht.

02/01/2015 02:22 REtender#41

Ich bin schon sehr gespannt auf die neue Version des Threads :)

02/01/2015 03:15 Punisher.biz#42

Ich ebenfalls, kann es kaum abwarten :)

02/01/2015 19:54 Zypr#43

INFO!: Die neue Version ist fast fertig!

Als kleinen Vorgeschmack erwartet euch unter anderem folgendes:

SSLLABS SSL Server Test mit A+

Spoiler

Status: 90% (01.02.2015)

02/02/2015 20:39 TrustedBot#44

Kanns kaum abwarten! So viel Aufwand ^^

02/04/2015 01:21 Zypr#45

Update 06.02:

Dank der zahlreichen Testuser konnten nun erste Probleme erkannt und beseitigt werden. Ich m�chte noch einmal deutlich darauf hinweisen, dass diese Version des Skripts nicht mit einem VPS kompatibel ist! Das Problem dabei ist, dass es sich bei einem VPS um keine vollwertige Virualisierung handelt, deshalb kann der Kernel des Gastsystems auch nicht modifizieren werden. Aus diesem Grund ist die Verwendung von Fuse nicht m�glich, da das entsprechende Kernelmodul nicht geladen werden kann.

An diese Stelle noch einmal vielen Dank f�r die zahlreiche Hilfe! Die Testphase der kritischen Systeme ist zu Ende, es folgen lediglich noch einige Kleinigkeiten, bei denen ich mir keine Sorgen um die Kompatabilit�t mache. Ich bin zuversichtlich, dass ich das fertige Skript bis Sonntag Abend pr�sentieren kann.

Bisherige Fehler und Probleme:

Spoiler

Fast geschafft!

Bald ist es soweit, die neue Version fast fertig und ben�tigt nur noch etwas Feinschliff.

Noch ein paar Details zu den Funktionalit�ten und �nderungen:

Automation:
Ich habe mich dieses Mal f�r einen etwas benutzerfreundlicheren Weg entschieden, so �bernimmt ein Bash-Skript 95% aller Installationsschritte und hilft dabei, das System innerhalb weniger Minuten zum perfekten Rootserver umzufunktionieren. W�re nicht der Diffie-Hellman-Schl�sselaustausch und die damit verbundene Erstellung des Schl�ssels, br�uchte das Skript je nach Server ca. 10 Minuten. Als Vergleich: Die manuelle Installation dauert ca. 120 Minuten (exkl. DH-Schl�ssel), bei einem Anf�nger rechne ich mit 180+ Minuten.

Verschl�sselung:
Das Setup sieht es vor, dass jegliche Verbindung zum Server verschl�sselt wird. Selbst, wenn man eine unverschl�sselte Verbindung erzwingen m�chte, wird es nicht klappen (Webserver). Es wird stets die neuste Version von OpenSSL installiert, sodass etwaige Sicherheitsl�cken nach Erscheinen eines neuen Patches sofort geschlossen werden. Das Augenmerkmal liegt hierbei bei den eingesetzten Ciphers und dem Cryptosystem. So wird die Verbindung zum Webserver durch einen 384 bit starken ECDSA Schl�ssel gesch�tzt. Als Vergleich: Bei Verwendung von RSA ben�tigt man einen 7680 bit starken Schl�ssel, um das Niveau von ECDSA zu erreichen, was allerdings die Rechenzeit der CPU erheblich erh�ht. RSA hat zwar den Vorteil, dass es abw�rtskompatibel ist, skaliert aber nicht wenn sich die L�nge des Schl�ssels erh�ht. ECDSA ist bei gleicher Schl�ssell�nge 10x schneller und schont somit auch unsere CPU. Zus�tzlich zu der sicheren Verbindung zu unserem Mailserver werden alle E-Mails inkl. Anhang auf der Festplatte verschl�sselt, sodass im Fall der F�lle niemand an unsere Daten kommt oder damit ganz paranoide Menschen ein ruhiges Gewissen haben ;D

Webserver:
Der wichtigste Part an dem Setup ist der Webserver. Auch dieses Mal kommt nat�rlich Nginx zum Einsatz, allerdings wird die Software nun selbst kompiliert. Nginx kommt zusammen mit einigen Modulen und bietet richtig konfiguriert den optimalen Webserver f�r eine hohe Anzahl von Besuchern.

Folgendes erwartet euch:

Aktuelle Nginx mainline version
PageSpeed
NPN (SPDY)
HTTP Auth Digest
ModSecurity standalone mit OWASP
384 bit ECDSA SHA-256 Zertifikat
HSTS, OCSP
Loadbalancing + Caching
Otimierung des TLS Time To First Byte f�r dynamische Inhalte
Verschleierung des Strings, indem dieser aus dem Header und den automatisch generierten Fehlerseiten entfernt wird
uvm.

Mailserver:
Der Mailserver ist neben unserem Nginx Webserver ein wichtiger Bestandteil eines erfolgreichen Projekts. Administratoren haben nach einiger Zeit stark mit Spam, Viren und Bots zu k�mpfen, so muss man daf�r sorgen, dass auch dieses System optimal funktioniert.

Wie auch oben erw�hnt, wird jegliche Verbindung zu dem Mailserver verschl�sselt. Schutz bietet ClamAV und SpamAssassin gegen den Schmutz aus dem Netz. Als Hilfe kommen auch diesmal die Listen von Spamhaus und Spamcop zum Einsatz. Die Authentifizierung findet wie auch in der letzten Version �ber MySQL statt und wird durch eine kryptische Authentifizierung mittels DKIM an dem DNS-Server, der die Eintr�ge der Domain verwaltet, erg�nzt. Zus�tzlich erschwert SPF das F�lschen einer Absenderadresse. Schickt also jemand von einem anderen Server eine E-Mail mit dem Absender unserers Servers, pr�ft der Emf�nger, ob der Absender �berhaupt berechtigt ist. Hierzu werden die Felder "MAIL FROM" und "HELO" in der SMTP-Verbindung mit den der SPF Regel des DNS-Servers verglichen. Stimmt also z. Bsp. die IP-Adresse des Absenders nicht, wird die E-Mail verworfen. Damit die E-Mail Postf�cher nicht alle per Hand gepflegt werden m�ssen, dient uns ViMbAdmin als administratorische Hilfe. ViMbAdmin bringt eine Weboberfl�che mit sich, sieht cool aus und ist auch noch sehr sicher. Die Passw�rter werden im SHA512-CRYPT Format gespeichert.

System:
Wie auch in der Version zuvor wird das System mit Hilfe einer Software-Firewall (Arno-Iptables-Firewall), Fail2Ban und der Anpassung des Kernels etwas abgeh�rtet. Fail2Ban scant au�erdem die Logs und reagiert entsprechend mit einem Ban, wenn verd�chtige Aktivit�ten wie z. Bsp. mehrmals hintereinander fehlgeschlagene Loginversuche.

Adminpanel:
Ich habe mich dieses Mal gegen Froxlor entschieden, da es meiner Meinung nach in diesem Setup nichts zu suchen hat. Als Alternative habe ich mir Ajenti angesehen und war auf den ersten Blick sehr angetan. Ajenti ist im Vergleich zu Froxlor nicht so konzipiert, dass die dahinterliegenden Systeme von dem Adminpanel abh�ngig sind. Au�erdem ist Froxlor eher f�rs Webhosting gedacht und das ist nicht das Ziel. Da ich diesen Punkt als letzten Schritt ansteuern m�chte, lasse ich die Wahl des Adminpanels noch offen..

Viele Gr��e

Page 3 of 26

Last »