Der perfekte Rootserver (Nginx, SSL, Mailserver, Roundcube, phpMyAdmin, Firewall)

[Zypr]

Update 06.02:

Dank der zahlreichen Testuser konnten nun erste Probleme erkannt und beseitigt werden. Ich möchte noch einmal deutlich darauf hinweisen, dass diese Version des Skripts nicht mit einem VPS kompatibel ist! Das Problem dabei ist, dass es sich bei einem VPS um keine vollwertige Virualisierung handelt, deshalb kann der Kernel des Gastsystems auch nicht modifizieren werden. Aus diesem Grund ist die Verwendung von Fuse nicht möglich, da das entsprechende Kernelmodul nicht geladen werden kann.

An dieser Stelle noch einmal vielen Dank für die zahlreiche Hilfe! Die Testphase der kritischen Systeme ist zu Ende, es folgen lediglich noch einige Kleinigkeiten, bei denen ich mir keine Sorgen um die Kompatabilität mache. Ich bin zuversichtlich, dass ich das fertige Skript bis Sonntag Abend präsentieren kann.

Bisherige Fehler und Probleme:

 Spoiler

Quote:

Ein Fehler, der bei dem einen oder anderen auftreten wird, entsteht beim Kompilieren. So meldet der Linker folgenden Fehler zurück:

Code:

collect2: error: ld terminated with signal 9 [Killed]
make[1]: *** [objs/nginx] Error 1
make[1]: Leaving directory `/root/sources/nginx-1.7.9'
make: *** [build] Error 2

Kurz übersetzt heißt es, dass während des Vorgangs nicht genügend RAM zur Verfügung steht und gleichzeitig die SWAP Partition oder Datei nicht groß genug ist.

Es gibt 2 Möglichkeiten um das Problem zu lösen:

• Mehr RAM (Wer hätte das gedacht)
• SWAP Größe eröhen (dazu bitte Google benutzen)

Wer mit einem Server ankommt, der nur 512MB RAM hat, braucht gar nicht daran zu denken einfach die SWAP Größe für die Dauer der Installation zu erhöhen. Das System wird mit allen Komponenten nicht mit 512MB RAM auskommen, ich bezweifle sogar, dass 1GB ausreichen.

Quote:

Ein weiterer Fehler kann bei der Eingabe des Passworts auftreten, so liegt es leider an der Natur von Bash, dass Sonderzeichen wie $ " ' # ` ´ / \ nicht genutzt werden dürfen, sonst wird die Installation von ViMbAdmin fehlschlagen und Postfix und Dovecot sich nicht am MySQL-Server anmelden können. Ich suche aktuell nach einer vernünftigen Lösung, bis dahin sollte man Passwörter ib der Kombination von a-z A-Z 0-9 und Sonderzeichen wie § % & ( ) [ ] = ? ß * + ~ _ - , . nutzen.

Quote:

Dem ein oder anderen wird bei der Installation des ClamAV-Milters folgende Meldung angezeigt:

Code:

WARNING: Can't download daily.cvd from db.local.clamav.net

Dies ist kein Fehler im eigentlichen Sinne, das bedeutet lediglich nur, dass der Host oder der Server dahinter nicht reagiert. Das Installationsskript des milters ist so konfiguriert, dass der Schritt so oft wiederholt wird, bis die angefragte Datei verfügbar ist.

Quote:

Nachdem die Salts in der Vimbadmin Konfigurationsdatei eingetragen sind, läd die Seite nicht mehr. Im Errorlog findet man folgende Meldung:

Code:

Stack trace:
2015/02/08 04:52:29 [error] 6195#0: *98 FastCGI sent in stderr: "PHP message: PHP Fatal error:  Uncaught exception 'Zend_Config_Exception' with message 'syntax error, unexpected $end, expecting '}' in /usr/local/vimbadmin/application/configs/application.ini on line 26

Zeile 26 ist die Stelle, an der wir eins der Salts einfügen müssen. Anscheinend gibt es wohl eine Kombination von Zeichen, mit der Zend nicht klarkommt. Leider habe ich den Hash nicht gespeichert, ich glaube aber, dass es die Zeichenfolge ${ oder $} war, die zu dem Problem geführt hat. Jedenfalls ist die Lösung ganz einfach: Hashs wieder entfernen und Seite neuladen, anschließend werden neue generiert.

Viele Grüße

[_Pulse_]

Falls ihr euch nicht sicher seid, ob ihr einen VPS oder einen VServer habt, werdet ihr es spätestens, wie ich, bei der Installation merken.

Ich miete zwar einen VServer, in Wahrheit ist das aber anscheinend nur ein VPS.

Quote:

Creating fuse group...
Adding group `fuse' (GID 104) ...
Done.
udev active, skipping device node creation.
update-initramfs: deferring update (trigger activated)
Processing triggers for initramfs-tools ...
Setting up encfs (1.7.4-2.4+b1) ...

chgrp: cannot access `/dev/fuse': No such file or directory

Danke außerdem nochmal an .interp, dass ich testen durfte. Wer weiß, vielleicht gibt's ja auch bald eine abgespeckte Version ohne Fuse.

[REtender]

Ich freue mich schon riesig auf den Release.

Leider kann ich wohl nicht mit testen, da 1 Punkt in Bezug auf die Domain nicht erfüllt war (ich glaube DNS oder etwas ähnlcihes war betroffen) und ich mir nicht sicher bin wie wichtig das für den Test des ganzen Systems ist.

Gruß

[Snowili]

Das mit Fuse hatte ich (leider) auch, Netcup funktioniert in diesem Falle aber beispielsweise. Bin auch gewechselt, da das Angebot im Bezug auf Preis/Leistung super ist.

Die Laufwerksverschlüsselung ist für mich weniger ausschlaggebend, aber da ich wenig Lust hatte das Script zu ändern, oder zu fragen, ob er das machen kann, bin ich schlichtweg gewechselt. Vor allem da Preis gleich bleibt, ich aber 2gb mehr ram habe

Bezüglich Domain mit DNS - Wäre praktisch das zu haben, wobei es nicht unbedingt pflicht ist. Dann müsste man jedoch die nginx configs anpassen, wofür wieder ein wenig geschickt erforderlich ist
Werde es jedoch bei Gelegenheit mal machen & die Configs hier posten, damit es auch ohne DNS-Änderungen bezüglich der Domain funktioniert.
/edit: Mail wird dann allerdings nicht funktionieren wie ich grade lese

Bzw ein Beispielanbieter wo das machbar ist, ist namecheap. Sonst einfach mal beim Hoster fragen.

[Zypr]

Es ist soweit!

Das Skript ist fertig, eine Anleitung findet man im ersten Post.



Viele Grüße!

[extremmichi]

ich hatte ja auch n paar Sachen aus dem alten Tutorial genutzt und war erfreut dass du dir nochmal die Mühe machst und alles überarbeitest. Das Neue werde ich die Woche komplett testen
Danke für deine Mühen

Gruss

michi

OT. :
schön dass man manche Leute anhand ihrer Qualität auch auf anderen Plattformen wieder erkennt

[Zypr]

Quote:

Originally Posted by extremmichi

ich hatte ja auch n paar Sachen aus dem alten Tutorial genutzt und war erfreut dass du dir nochmal die Mühe machst und alles überarbeitest. Das Neue werde ich die Woche komplett testen
Danke für deine Mühen

Gruss

michi

OT. :
schön dass man manche Leute anhand ihrer Qualität auch auf anderen Plattformen wieder erkennt

Grüß dich Michi, schön dich hier anzutreffen. Da ich bei netcup meinen Beitrag leider nicht bearbeiten konnte, gab es dort keine Updates mehr. Auch wenn es dort ein Stückchen besser aufgehoben wäre als hier, aber was solls.

Viele Grüße!

[hi i am banned at epvp]

Auch wenn ich leider mangels Zeit keinen ausführlichen Bericht / Review schreiben kann, möchte ich hier dennoch mal ein paar Sachen erwähnen.
Das Skript ist wirklich extrem gut, einige Configs habe ich direkt mal für bestehende Server benutzt.
.interp hat hier wirklich etwas plausibles gebastelt.
Nach der Installation des Scripts (oder beim angucken des Scripts) kann man einiges anhand der Configs lernen und ich bin auch auf ein paar Sachen gestoßen die ich überhaupt nicht kannte.

Bei folgenden Hostern / Produkten konnte ich das ganze nun testen und bestätigt hiermit das es (bei mir) dort funktioniert hat:
OVH | SP-128
SoYouStart (OVH) | E3-SSD-2
DigitalOcean | 2 & 4 GB Ram Droplet
Voxility | HP Proliant DL380e Gen8 LFF
Hetzner | PX120
online.net | k.A. - Server von Kollegen
Worldstream | Intel Dual Xeon E5405 16GB Ram
LeaseWeb | HP DL120G7
incloudibly | Omega

und diverse vServer auf KVM Basis.

Ich bin vom Script begeistert und hoffe das .interp es noch lange weiterentwickeln wird!

[extremmichi]

So nachdem ich nun im 5ten Versuch die Instalation abschliessen konnte, werde ich mal erste Eindrücke schildern.
Keine Angst, wie sich rausgestellt hat sind alle Fehler bei mir gewesen.
Ich hatte nur n XS-Serber zum Testen frei und der hat leider nur 512MB Ram.
Ja ich weiss, wurde nicht empfohlen, aber die Installation sollte trozdem klappen, dachte ich......
Die Installation brach zwei mal ab oder ich habe das dynamische root-passwd nicht gespeichert, und kam so in Schritt 2 (nach dem Reboot ) nicht mehr ins System. Wie gesagt, alles meine Fehler.
Das script läuft fein durch. Jedoch ist mir heute dann doch ein Makel aufgefallen.
Das verschlüsselte FS für die Postfächer wir nicht gemountet. Das ist aber logisch , da man ja beim boot kein Passwort angeben kann.
Da ich bisher noch nicht gefunden habe, wo das FS gemounted wird, habe ich einen kleinen Umweg gebaut.
eine bash-script mit folgendem Inhalt im Ordner /root erstellen
#!/bin/bash
#"passwort" durch das Passwort bei der Installation ersetzen
echo "passwort"

Der Name der Datei ist eigentlich egal, ich hab ihn mal 2passwd_encfs.sh" genannt.
Wichtig:
die Datei sollte nur für root lesbar und ausfürbar sein.

Nun die Datei /etc/crontab mit dem Editor der Wahl öffnen
und Folgendes einfügen:

@reboot root encfs /var/mail/encrypted /var/mail/decrypted -o nonempty --public --extpass=/root/passwd_encfs.sh


Nun bekommt encfs das passwort mitgeliefert aus unserem kleinen script.
und das verschlüsselte FS wird bei jedem Start geladen


Gruss

michi

[jmzbz]

Hallo,

leider bekomme ich immer wieder dieses problem und wenn diese fehlermeldung kommt, kann ich mich danach nicht mehr per ssh einloggen.
hat jmd eine lösung für mich parat?

[....] Running /etc/init.d/networking restart is deprecated because it may not re-enab[warnme interfaces ... (warning).
[....] Reconfiguring network interfaces...Write failed: Broken pipe


Vielen Dank

[Zypr]

Quote:

Originally Posted by extremmichi

So nachdem ich nun im 5ten Versuch die Instalation abschliessen konnte, werde ich mal erste Eindrücke schildern.
Keine Angst, wie sich rausgestellt hat sind alle Fehler bei mir gewesen.
Ich hatte nur n XS-Serber zum Testen frei und der hat leider nur 512MB Ram.
Ja ich weiss, wurde nicht empfohlen, aber die Installation sollte trozdem klappen, dachte ich......
Die Installation brach zwei mal ab oder ich habe das dynamische root-passwd nicht gespeichert, und kam so in Schritt 2 (nach dem Reboot ) nicht mehr ins System. Wie gesagt, alles meine Fehler.
Das script läuft fein durch. Jedoch ist mir heute dann doch ein Makel aufgefallen.
Das verschlüsselte FS für die Postfächer wir nicht gemountet. Das ist aber logisch , da man ja beim boot kein Passwort angeben kann.
Da ich bisher noch nicht gefunden habe, wo das FS gemounted wird, habe ich einen kleinen Umweg gebaut.
eine bash-script mit folgendem Inhalt im Ordner /root erstellen
#!/bin/bash
#"passwort" durch das Passwort bei der Installation ersetzen
echo "passwort"

Der Name der Datei ist eigentlich egal, ich hab ihn mal 2passwd_encfs.sh" genannt.
Wichtig:
die Datei sollte nur für root lesbar und ausfürbar sein.

Nun die Datei /etc/crontab mit dem Editor der Wahl öffnen
und Folgendes einfügen:

@reboot root encfs /var/mail/encrypted /var/mail/decrypted -o nonempty --public --extpass=/root/passwd_encfs.sh


Nun bekommt encfs das passwort mitgeliefert aus unserem kleinen script.
und das verschlüsselte FS wird bei jedem Start geladen


Gruss

michi

Hallo Michi,

um ehrlich zu sein, habe ich das total vergessen zu erwähnen. Vielen Dank für dein Feedback! Ich habe deinen Beitrag zu den bisherigen Fehlern und Problemen hinzugefügt, damit andere User deine Lösung nutzen können :)

Quote:

Originally Posted by jmzbz

Hallo,

leider bekomme ich immer wieder dieses problem und wenn diese fehlermeldung kommt, kann ich mich danach nicht mehr per ssh einloggen.
hat jmd eine lösung für mich parat?

[....] Running /etc/init.d/networking restart is deprecated because it may not re-enab[warnme interfaces ... (warning).
[....] Reconfiguring network interfaces...Write failed: Broken pipe


Vielen Dank

Hallo jmzbz,

kannst du mir ein paar Infos zu dem Server geben? Bisher konnte ich keine Probleme mit dem IPv6-Teil feststellen. Ich habe ihn trotz allem mal angepasst, da es bereits ausreicht, IPv6 in der Sysconfig zu deaktivieren.

Gruß

[jmzbz]

Hallo .interp,

es ist ein rootserver mit 4vcores mit 16GRam.

Gruß

P.S. Danke für das Skript und deine Mühe. Wir werden es auch auf meinen zum laufen bekommen

[MrXellos]

Ich hab es schon zwei mal probiert aber ich krieg immer den Error

doveconf: Fatal: Error in configuration file /etc/dovecot/conf.d/10-ssl.conf line 6: Unknown setting: ssl_prefer_server_ciphers
[....] Restarting IMAP/POP3 mail server: dovecotdoveconf: Fatal: Error in configuration file /etc/dovecot/conf.d/10-ssl.conf line 6: Unknown setting: ssl_prefer_server_ciphers

[Zypr]

Quote:

Originally Posted by MrXellos

Ich hab es schon zwei mal probiert aber ich krieg immer den Error

doveconf: Fatal: Error in configuration file /etc/dovecot/conf.d/10-ssl.conf line 6: Unknown setting: ssl_prefer_server_ciphers
[....] Restarting IMAP/POP3 mail server: dovecotdoveconf: Fatal: Error in configuration file /etc/dovecot/conf.d/10-ssl.conf line 6: Unknown setting: ssl_prefer_server_ciphers

Sorry, war mein Fehler. Die Option steht bei Dovecot erst ab Version 2.2.6 zur Verfügung, die findet man allerdings nicht in den stable repos, deshalb müsste man Dovecot entweder von einer anderen Repo ziehen oder selbst kompilieren. Wenn ich wieder etwas mehr Zeit haben werde, füg ich das im Skript noch mal hinzu, da ich die neuste Version auf meinem Server schon nutze.

Viele Grüße

[jmzbz]

Hallo,

jetzt hat alles funktioniert, nur noch eines und zwar geht es um den ssh private key. ich habe die datei erstellt mit und ohne .ppk hab sie dann versucht in puttygen zu importieren, leider hat er sie nicht geladen, bzw konnte es nicht, hab eine text datei benutzt den private key hineinkopiert und unter .ppk und einmal ohne endung gespeichert.
Was mache ich falsch?

Vielen Dank

benutze TextWrangler, habe den private key dort eingefügt und unter id_rsa und id_rsa.pkk gespeichert.
line breaks: Windows CRLF
encoding: unicode (UTF-8)
couldn´t load private key (header found in boy of key data)