Der perfekte Rootserver (Nginx, SSL, Mailserver, Roundcube, phpMyAdmin, Firewall)

[REtender]

Quote:

Originally Posted by Zypr

Ich bin quasi schon fertig, es funktioniert nur eine Kleinigkeit nicht. Aber ich werde das Skript heute releasen, da der E-Mailserver funktioniert.. lediglich die autodiscover bzw. die "Push/ActiveSync"-Funktion will noch nicht so wie ich möchte. Wenn du noch eine Stunde Geduld hast, kannst du das auf GitHub ziehen.

Edit: Verzögert sich etwas, bastel noch an einer verbesserten Version der Firewall.

Alles gut, nicht hetzen :P
Ich wollte nur wissen ob es sich lohnt den Server neu aufzusetzen oder ob ich noch etwas warte.
Zum Übergang hatte ich mir selbst einen Email Server gefrickelt um wieder Zugriff zu haben, aber der kommt nicht im Ansatz an den Skript ran

Ich bin echt gespannt auf die neue Version

Edit: Das der alte Script nicht ging hat mich dazu gezwungen mich mal richtig mit der Materie zu beschäftigen, was auch ganz gut ist

[Zypr]

Quote:

Originally Posted by REtender

Alles gut, nicht hetzen :P
Ich wollte nur wissen ob es sich lohnt den Server neu aufzusetzen oder ob ich noch etwas warte.
Zum Übergang hatte ich mir selbst einen Email Server gefrickelt um wieder Zugriff zu haben, aber der kommt nicht im Ansatz an den Skript ran

Ich bin echt gespannt auf die neue Version

Edit: Das der alte Script nicht ging hat mich dazu gezwungen mich mal richtig mit der Materie zu beschäftigen, was auch ganz gut ist

Vielleicht war das von mir so geplant... ;D

Jedenfalls ist die neue Verison endlich fertig geworden! Leider hat mich der "Feinschliff" doch mehr Zeit gekostet, als ich gedacht habe. Ich hoffe es gefällt euch. Sollten Fragen oder Probleme auftreten, könnt ihr diese gerne hier reinschreiben!

Den Hauptpost aktualisiere ich noch bei Gelegenheit, bis dahin bitte ich euch die Installationsanleitung von der GitHub Readme zu befolgen:

[bgbfgbgfbgf]

Danke für die Mühe, Installation hat geklappt. Wie lade ich jetzt mein Blog hoch, der über eine andere Domain als die von mir im Script angegebene erreichbar sein soll?

[REtender]

Danke für die neue Version!
Es läuft alles Einwandfrei so wie es soll (Email Nginx und Roundcube, mailcow, eigenes SSL Cert etc)...
bis auf eine Ausnahme:


und
funktionieren beide nicht.

Wobei es eh immer komische Fehler gibt wenn ich Cloudflare dazu / wegschalte mit redirects... (mit Ajenti sowieso, SSL Fehler die teils auch Nginx killen?!)
Ich werde morgen nochmal bei Gelegenheit die aktuellste Version von heute Nacht drauf packen und mal schauen und mir eine Alternative zu proftpd suchen.

[Zypr]

Quote:

Originally Posted by REtender

Danke für die neue Version!
Es läuft alles Einwandfrei so wie es soll (Email Nginx und Roundcube, mailcow, eigenes SSL Cert etc)...
bis auf eine Ausnahme:


und
funktionieren beide nicht.

Wobei es eh immer komische Fehler gibt wenn ich Cloudflare dazu / wegschalte mit redirects... (mit Ajenti sowieso, SSL Fehler die teils auch Nginx killen?!)
Ich werde morgen nochmal bei Gelegenheit die aktuellste Version von heute Nacht drauf packen und mal schauen und mir eine Alternative zu proftpd suchen.

Grüß dich!

Um ehrlich zu sein, habe ich die Kalender- und ActiveSync-Funktion noch nicht wirklich getestet, da ich lediglich die Originalsettings von Mailcow übernommen habe. Wenn ich die Seiten aufrufe, kann ich mit (zumindest über den Browser) mit meinem erstellten E-Mail Account einloggen und kriege den entsprechenden Inhalt angezeigt. Ich ging deshalb davon aus, dass es klappen sollte. Ansonsten schaue ich mir das die Tage bzw. spätestens in meinem Urlaub an (November) und fixe das Problem.

Also Ajenti hat eigentlich gar nichts mit Nginx zu tun, es sei denn du rufst es über proxy_pass auf. Normalerweise läuft es ja eigenständig auf einem völlig anderen Port. Außerdem empfehle ich es, Ajenti ausschließlich über localhost aufrufbar zu machen (Aus diversen Sicherheitsaspekten).

Mich haben bereits einige User auf FTP angeschrieben, nur hat bisher nichts dafür gesprochen, da es SFTP gibt. Meinst du ich soll FTP mit in das Skript integrieren? Dann könnte man ja in dem /etc/nginx/html Ordner noch einen public Ordner erstellen und den FTP-User auf /etc/nginx/html beschränken, sodass man den Inhalt entsprechend bereits mit den richtigen Rechten hochladen und alle Vhosts verwalten kann.

[REtender]

Quote:

Originally Posted by Zypr

Grüß dich!

Um ehrlich zu sein, habe ich die Kalender- und ActiveSync-Funktion noch nicht wirklich getestet, da ich lediglich die Originalsettings von Mailcow übernommen habe. Wenn ich die Seiten aufrufe, kann ich mit (zumindest über den Browser) mit meinem erstellten E-Mail Account einloggen und kriege den entsprechenden Inhalt angezeigt. Ich ging deshalb davon aus, dass es klappen sollte. Ansonsten schaue ich mir das die Tage bzw. spätestens in meinem Urlaub an (November) und fixe das Problem.

Also Ajenti hat eigentlich gar nichts mit Nginx zu tun, es sei denn du rufst es über proxy_pass auf. Normalerweise läuft es ja eigenständig auf einem völlig anderen Port. Außerdem empfehle ich es, Ajenti ausschließlich über localhost aufrufbar zu machen (Aus diversen Sicherheitsaspekten).

Mich haben bereits einige User auf FTP angeschrieben, nur hat bisher nichts dafür gesprochen, da es SFTP gibt. Meinst du ich soll FTP mit in das Skript integrieren? Dann könnte man ja in dem /etc/nginx/html Ordner noch einen public Ordner erstellen und den FTP-User auf /etc/nginx/html beschränken, sodass man den Inhalt entsprechend bereits mit den richtigen Rechten hochladen und alle Vhosts verwalten kann.

Ich habe gerade eine neue Installation gemacht und folgendes ist mir aufgefallen:
Ist nur die Funktion generatepw gültig in der config oder auch andere Passwörter die man selbst wählt?
Ich habe aus Zeitmangel noch nicht genau geschaut aber laut Beschreibung las es sich so, aber ich habe gesehen das im Script öfters die rand Funktion vom Anfang aufgerufen wird.
Ich vermute das es da wenn noch Probleme mit Sonderzeichen gibt, wenn ich anstatt der Funktion ein Passwort wie El1t3pvp3rs!? eintrage, da er mir Fehler ausgibt ala command not found.

Zu Ajenti:
Da habe ich folgenden Fix verwendet

Edit file /usr/lib/python2.7/dist-packages/gevent/ssl.py on line 84 :
- ctx = SSLContext(ssl_version)
+ ctx = __ssl__.SSLContext(ssl_version)
könnte mir das auch mein SSL von Nginx irgendwie zerschossen haben?
Ohne den Fix komme ich jedenfalls nicht von außen auf Ajenti (mal unabhängig davon das es unsicher ist).

Folgende Fehler sind aufgetreten während der Installation:
sources/script/functions.sh: line 1414: [: ==: unary operator expected
grep: /etc/rc.local: No such file or directory
sed: can't read /etc/rc.local: No such file or directory

Nach der Installation geht Nginx normal wie erwartet.
Leitet mich nun auf die normale Nginx Testseite weiter
fragt Login ab wie gewollt
Allerdings hat er mir auch manche Checks trotz richtiger Records nicht abgenommen, da werde ich heute Abend nochmal schauen, aber die hatte ich copy pasted und müssten richtig sein...

FTP:
FTP wäre im Script perfekt, wenn es so beschränkt ist und über TLS / SSL abgesichert!

[Zypr]

Quote:

Originally Posted by REtender

Ich habe gerade eine neue Installation gemacht und folgendes ist mir aufgefallen:
Ist nur die Funktion generatepw gültig in der config oder auch andere Passwörter die man selbst wählt?
Ich habe aus Zeitmangel noch nicht genau geschaut aber laut Beschreibung las es sich so, aber ich habe gesehen das im Script öfters die rand Funktion vom Anfang aufgerufen wird.
Ich vermute das es da wenn noch Probleme mit Sonderzeichen gibt, wenn ich anstatt der Funktion ein Passwort wie El1t3pvp3rs!? eintrage, da er mir Fehler ausgibt ala command not found.

Edit: Sorry, ganz vergessen auf die Passwortfrage einzugehen. Wenn du ein eigenes Passwort eintragen möchtest, dann mit Anfühungszeichen und nicht mit den Apostrophen. Die Apostrophen symbolisieren lediglich, dass der Inhalt innerhalb ein Befehl ist und ausgeführt werden muss. Wenn du da ein eigenes Passwort reinpackst und die Apostrophen nicht rausnimmst, versucht die Shell dein Passwort als Befehl auszuführen, der allerdings nirgendwo definiert ist, deshalb der Fehler. Also um deine Frage kurz zu beantworten: Ja du kannst selbstverständlich eigene Passwörter nehmen, so lange diese die password policy erfüllen und du dieses in Anführungszeichen packst oder einfach weglässt.


Zu Ajenti:
Da habe ich folgenden Fix verwendet

Edit file /usr/lib/python2.7/dist-packages/gevent/ssl.py on line 84 :
- ctx = SSLContext(ssl_version)
+ ctx = __ssl__.SSLContext(ssl_version)
könnte mir das auch mein SSL von Nginx irgendwie zerschossen haben?
Ohne den Fix komme ich jedenfalls nicht von außen auf Ajenti (mal unabhängig davon das es unsicher ist).

Folgende Fehler sind aufgetreten während der Installation:
sources/script/functions.sh: line 1414: [: ==: unary operator expected
grep: /etc/rc.local: No such file or directory
sed: can't read /etc/rc.local: No such file or directory

Nach der Installation geht Nginx normal wie erwartet.
Leitet mich nun auf die normale Nginx Testseite weiter
fragt Login ab wie gewollt
Allerdings hat er mir auch manche Checks trotz richtiger Records nicht abgenommen, da werde ich heute Abend nochmal schauen, aber die hatte ich copy pasted und müssten richtig sein...

FTP:
FTP wäre im Script perfekt, wenn es so beschränkt ist und über TLS / SSL abgesichert!

Danke für die Rückmeldung!

Kurz was zu dem Fehler in Zeile 1414.. Das sollte es beheben:

Code:

if [[ ${PMA_RESTRICT} == '1' ]]; then

Was autoconfigure angeht, so hab ich mich da etwas vertan. Richtig ist folgende Subdomain, die in der Nginx Config auch so drin steht:

Code:

autodiscover.yourdomain.tld

Was Ajenti angeht, so kann es Nginx gar nicht zerschießen, weil das zwei völlig unterschiedliche Systeme sind. Solange du Ajenti nicht über die proxy_pass Funktion in nginx aufrufst, kannst du das gar nicht zerschießen. Ich hab mich Ajenti ne Weile nicht mehr außeinandergesetzt, deshalb kann ich dazu erstmal nichts sagen. Ich wollte es im Thread als kleine Hilfestellung mit einbeziehen aber aus dem Skript selbst rauslassen. Kommt heute oder spätestens morgen früh

[mxiiii]

###########################################
# Gelöst, mein Hoster hatte in der Firewall eine Fehlkonfiguration #
###########################################

 Spoiler

Hallo,

erst einmal vielen Dank an Zypr für des prima Update. Läuft soweit auch fast wie es soll, bzw. wie ich es benötige.

Leider machen mir 2 SMTP-Fehler Kopfzerbrechen und ich finde einfach keine Lösung. Der grundsätzliche Mailverkehr funktioniert abgehend sowie ankommend. DKIM / DMARC und SPF passen auch alle.

Fehler 1: SMTP-Banner-Check "Reverse DNS does not match SMTP Banner"

Folgende Konfiguration liegt vor:

 Spoiler

Server:
Hostname: mail (/etc/hostname)
Hosts: 127.0.0.1 localhost sowie ip-adresse domainname.de mail
Mailname: mail.domainname.de (/etc/mailname)

DNS:
PTR/RDNS: mail.domainname.de
A-Record: mail.domainname.de
A-Record: domainname.de
MX-Record: mail.domainname.de

Postfix (/etc/postfix/main.cf)
mydomain: domainname.de
myhostname: mail.domainname.de
SMTP-Banner: $myhostname

Zum testen habe ich MXToolbox benutzt mit folgendem Ergebnis:

 Spoiler

Getestet mit "mail.domainname.de" und "domainname.de"


SMTP Banner Check: Reverse DNS does not match SMTP Banner

Connecting to 212.144.102.161

220 ******************* [891 ms]
EHLO PWS3.mxtoolbox.com
250-mail.domainname.de
250-PIPELINING
250-SIZE 26214400
250-ETRN
250-XXXXXXXA
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN [734 ms]
MAIL FROM:<>
250 2.1.0 Ok [750 ms]
RCPT TO:<>
454 4.7.1 <>: Relay access denied [750 ms]

PWS3v2 5532ms

Bei dnsqueries kommt zusätzlich noch:

 Spoiler

Results for checks on mail.domainname.de oder domainname.de

HostName in Greeting: I was NOT able to detect your hostname in the greeting message or the hostname has not a valid PTR record

Fehler 2: STARTTSL funktioniert nur intern

telnet von intern -> ok

 Spoiler

root@mail:~# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mail.domainname.de
ehlo domainname.de
250-mail.domainname.de
250-PIPELINING
250-SIZE 26214400
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
STARTTLS
220 2.0.0 Ready to start TLS

Mit putty von einem Windows-PC -> FAIL

 Spoiler

220 *******************
ehlo domainname.de
502 5.5.2 Error: command not recognized
helo domainname.de
250 XXXXXXXXXXXXXXXXXXA
STATTLS
502 5.5.2 Error: command not recognized

Vielleicht hat ja jemand eine Idee

[EDIT]

Beides scheint irgendwie zusammen zu hängen.
Bei interner Kommunikation erscheint 220 mail.domainname.de
Bei externer Kommunikation lediglich 220 *******************

[Zypr]

Quote:

Originally Posted by mxiiii

Hallo,

erst einmal vielen Dank an Zypr für des prima Update. Läuft soweit auch fast wie es soll, bzw. wie ich es benötige.

Leider machen mir 2 SMTP-Fehler Kopfzerbrechen und ich finde einfach keine Lösung. Der grundsätzliche Mailverkehr funktioniert abgehend sowie ankommend. DKIM / DMARC und SPF passen auch alle.

Fehler 1: SMTP-Banner-Check "Reverse DNS does not match SMTP Banner"

Folgende Konfiguration liegt vor:

 Spoiler

Server:
Hostname: mail (/etc/hostname)
Hosts: 127.0.0.1 localhost sowie ip-adresse domainname.de mail
Mailname: mail.domainname.de (/etc/mailname)

DNS:
PTR/RDNS: mail.domainname.de
A-Record: mail.domainname.de
A-Record: domainname.de
MX-Record: mail.domainname.de

Postfix (/etc/postfix/main.cf)
mydomain: domainname.de
myhostname: mail.domainname.de
SMTP-Banner: $myhostname

Zum testen habe ich MXToolbox benutzt mit folgendem Ergebnis:

 Spoiler

Getestet mit "mail.domainname.de" und "domainname.de"


SMTP Banner Check: Reverse DNS does not match SMTP Banner

Connecting to 212.144.102.161

220 ******************* [891 ms]
EHLO PWS3.mxtoolbox.com
250-mail.domainname.de
250-PIPELINING
250-SIZE 26214400
250-ETRN
250-XXXXXXXA
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN [734 ms]
MAIL FROM:<>
250 2.1.0 Ok [750 ms]
RCPT TO:<>
454 4.7.1 <>: Relay access denied [750 ms]

PWS3v2 5532ms

Bei dnsqueries kommt zusätzlich noch:

 Spoiler

Results for checks on mail.domainname.de oder domainname.de

HostName in Greeting: I was NOT able to detect your hostname in the greeting message or the hostname has not a valid PTR record

Fehler 2: STARTTSL funktioniert nur intern

telnet von intern -> ok

 Spoiler

root@mail:~# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mail.domainname.de
ehlo domainname.de
250-mail.domainname.de
250-PIPELINING
250-SIZE 26214400
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
STARTTLS
220 2.0.0 Ready to start TLS

Mit putty von einem Windows-PC -> FAIL

 Spoiler

220 *******************
ehlo domainname.de
502 5.5.2 Error: command not recognized
helo domainname.de
250 XXXXXXXXXXXXXXXXXXA
STATTLS
502 5.5.2 Error: command not recognized

Vielleicht hat ja jemand eine Idee

[EDIT]

Beides scheint irgendwie zusammen zu hängen.
Bei interner Kommunikation erscheint 220 mail.domainname.de
Bei externer Kommunikation lediglich 220 *******************

Das alles hast du einem simplen und kleinen Fehler zu verdanken

Deine IP-Adresse braucht einen gültigen Reverse-DNS Eintrag, also mail.yourdomain.tld. Der SMTP-Server meldet sich nämlich mit dieser Domain und wenn der Reverse-DNS Eintrag nicht korrekt ist, wird diese Fehlermeldung rausgespuckt. TLS klappt bei mir auch von Extern, möglicherweise hat es auch etwas mit RDNS zu tun. Probier mal folgenden Befehl auf irgendeinem anderen Server aus:

Code:

openssl s_client -connect mail.yourdomain.tld:25 -starttls smtp

Bei mir läuft er sauber durch.

Ich werde dem Assistenten noch einen Prüfschritt hinzufügen, indem ich auf den Reverse-DNS Eintrag hinweise.

Gruß

[REtender]

Wie schon erwähnt scheint bei den Passwort Sachen in der Userconfig etwas nicht zu stimmen

[03:56:56] | [ERROR] One of your passwords is too weak.
[03:56:56] | [INFO] Your password must be a minimum of 8 characters and must include at least 1 number, 1 uppercase and 1 lowercase letter.
[03:56:56] | [INFO] Recommended password settings: Leave `generatepw` to generate a strong password.

[03:56:56] | [INFO] Press ENTER to show the weak password or CTRL-C to cancel the process

[04:02:38] | -----------------------
[04:02:38] | VAtRFlfQahfsMdUSyNrQiVjT
[04:02:38] | -----------------------

Dabei stand überall generatepw --> beim zweiten Versuch ging es dann.
Eigene Passwörter sind mir gar nicht möglich in z.B. folgendem Format El1t3pvp3rs!?

[Zypr]

Quote:

Originally Posted by REtender

Wie schon erwähnt scheint bei den Passwort Sachen in der Userconfig etwas nicht zu stimmen

[03:56:56] | [ERROR] One of your passwords is too weak.
[03:56:56] | [INFO] Your password must be a minimum of 8 characters and must include at least 1 number, 1 uppercase and 1 lowercase letter.
[03:56:56] | [INFO] Recommended password settings: Leave `generatepw` to generate a strong password.

[03:56:56] | [INFO] Press ENTER to show the weak password or CTRL-C to cancel the process

[04:02:38] | -----------------------
[04:02:38] | VAtRFlfQahfsMdUSyNrQiVjT
[04:02:38] | -----------------------

Dabei stand überall generatepw --> beim zweiten Versuch ging es dann.
Eigene Passwörter sind mir gar nicht möglich in z.B. folgendem Format El1t3pvp3rs!?

Das Skript generiert manchmal ein Passwort, das eigentlich sicher ist aber dennoch nicht die erfolderlichen Kriterien erfüllt.
So fehlt z. Bsp. eine Zahl, was eigentlich nicht tragisch wäre, der Syntax das allerdings völlig egal ist.
An dieser Stelle kann das Skript einfach neugestartet werden, danach werden neue Passwörter generiert.

Du kannst eigene Passwörter nutzen, sofern du die Mindestanforderung erfüllst. Du musst das Passwort allerdings in Anführungszeichen setzen und die beiden Apostroph weglassen. Die symbolisieren nämlich einen Befehl, folglich versucht Bash alles, was in `` steht, also z. Bsp. `FUNKTION`, auszuführen. Da FUNKTION allerdings nicht definiert ist, passiert nichts! Also wenn du ein eigenes Passwort nutzen möchtest, dann schreib z. Bsp

Code:

MYSQL_ROOT_PASS="El1t3pvp3rs"

Es kann auch sein, dass cracklib das Passwort als unsicher einstuft, dann ändert man es halt. Ich sah es fast als meine Pflicht an, sichere Passwörter zu erzwingen. Das tolle daran ist: Die, die es schaffen den Passwortcheck auszukommentieren, damit x-beliebige Passwörter möglich sind, die wissen auch was sie tun. Der Rest soll gefälligst sichere Passworter nutzen ;D

[tadela]

Ich hab das ganze mal ausprobiert. Nicht übel.

Aber es gibt bei mir das folgende E-Mail-Problem (frisch installiert, alles nach deinen anweisungen gemacht)

Hier mal ein ausschnitt aus dem Log:
Oct 31 11:12:34 mail postfix/smtp[9029]: 3FC302A2454: to=<>, relay=none, delay=0.44, delays=0.42/0.02/0/0, dsn=5.4.6, status=bounced (mail for domain.de loops back to myself)

[Zypr]

Quote:

Originally Posted by tadela

Ich hab das ganze mal ausprobiert. Nicht übel.

Aber es gibt bei mir das folgende E-Mail-Problem (frisch installiert, alles nach deinen anweisungen gemacht)

Hier mal ein ausschnitt aus dem Log:
Oct 31 11:12:34 mail postfix/smtp[9029]: 3FC302A2454: to=<>, relay=none, delay=0.44, delays=0.42/0.02/0/0, dsn=5.4.6, status=bounced (mail for domain.de loops back to myself)

Hallo tadela,

die Meldung im Log sagt eigentlich schon alles:

Quote:

mail for domain.de loops back to myself

Es gibt drei mögliche Ursachen, die in Frage kommen (Eine vierte Ursache wäre die Konfiguration von Postfix, aber die ist sauber):

1. Du hast providerseitig einen Filter auf Port 25, der Anfragen von intern erneut auf sich selbst umleitet. Somit hast du eine Endlosschleife

2. E-Mails an werden auf das gleiche Postfach oder entsprechend einen Alias des Postfachs weitergeletet. Wenn du von dem selben Postfach an dich selbst schreibst, has du auch eine Endlosschleife

3. Deine MX-Records stimmen nicht. Dein Server fühlt sich für die Domain, die verschicken möchte, nicht verantwortlich

Grüße

[hi i am banned at epvp]

Quote:

Originally Posted by tadela

Ich hab das ganze mal ausprobiert. Nicht übel.

Aber es gibt bei mir das folgende E-Mail-Problem (frisch installiert, alles nach deinen anweisungen gemacht)

Hier mal ein ausschnitt aus dem Log:
Oct 31 11:12:34 mail postfix/smtp[9029]: 3FC302A2454: to=<>, relay=none, delay=0.44, delays=0.42/0.02/0/0, dsn=5.4.6, status=bounced (mail for domain.de loops back to myself)

Habe Mailcow auch eben mal ausprobiert, also bei mir kam der selbe Fehler da ich (keine Ahnung warum) den Hacken bei "Backup MX" gesetzt hatte:


Nachdem ich den Hacken entfernt habe geht alles.

Mailcow sieht echt gut aus - danke für den Hinweis!

[tadela]

Besten Dank euch beiden für die Hilfe! Es lag tatsächlich am Hacken bei "Backup MX" (zu finden in den Domaineinstellungen, falls noch jemand das Problem haben sollte.)

Gruss
tadela