Der perfekte Rootserver (Support Thread)

mumi. · 01/04/2016, 05:10

Quote:

Originally Posted by Tulskie

Moin moin zusammen,
hab nun eine 2te Domain eingerichtet, funzt auch soweit gut.
Nun habe ich für die 2te Domain eine eigene email eingerichtet, funzt soweit auch alles. Hätte dazu aber noch eine Frage. Die zweite Domain-Mail läuft ebenfals über den server der ersten Domain-Mail. Soll oder muss das so sein? Mir wäre es lieber wenn ich die beiden mails voneinander unabhängig laufen lassen könnte. Beide benutzen den mailserver von der ersten Domaine.
Received: from mail.meinedomaine1.tld by mail.meinedomaine1.tld (Dovecot) with

Theoretisch sollte es möglich sein Postix und so weiter 2 mal zu installieren (dafür sorgen das Ports und Verzeichnisse sich nicht überschneiden), aber es ist unnötig viel Aufwand. Außerdem müssten ja die Spam filter für die 2. Installation gelegt werden und das ist die Arbeit glaube ich einfach nicht Wert.

Tulskie · 01/08/2016, 21:46

Quote:

Originally Posted by mumi.

Theoretisch sollte es möglich sein Postix und so weiter 2 mal zu installieren (dafür sorgen das Ports und Verzeichnisse sich nicht überschneiden), aber es ist unnötig viel Aufwand. Außerdem müssten ja die Spam filter für die 2. Installation gelegt werden und das ist die Arbeit glaube ich einfach nicht Wert.

Na dann bedanke ich mich für die Auskunft und freue mich das alles geht :-)

Axiades · 01/19/2016, 01:32

Hallo,

ich suche nach einem Funktionierendem Script für Nginx, mit dem ich ein E-Mail Hosting Service wie GMX, WEBDE GMAIL oder sonstige aufmachen kann wo sich die leute selber regestrieren können um eine Eigene E-Mail zu bekommen.

LG
Axia

TiggaStyle · 01/20/2016, 11:17

Moinsen,

wie immer: immernoch super

ein par Vorschläge hätte ich trotzdem:
Auswahl von allem:
Will ich: Naxsi
Will ich: ssh nur mit Key, oder auch ohne
Will ich: Firewall/Kernel/System - dann würde das ganze auch für eine VPS gehen.
usw. usw. alles aus/abwählen können.

Nächster Vorschlag ist natürlich: PHP7 - oder php5 und php7 gleichzeitig.

Zudem eine Frage, warum installierst du alles von Hand? warum nicht aus irgendwelchen Quellen? Dann wäre vllt alles Updatebar - aber du bekommst das schon hin mit dem Updater.

Noch etwas, GeoIP im Webbrowser- Sperren von Ländern - RU usw. wäre nett

und zum Schluss: den neuesten Apache hinter dem nginx? Da der Apache vllt nicht schnell ist aber für einige CMSs mit mpm_events und php-fpm vllt doch die bessere Wahl(htaccess) ist.

Zypr · 01/20/2016, 23:37

Quote:

Originally Posted by TiggaStyle

Moinsen,

wie immer: immernoch super

ein par Vorschläge hätte ich trotzdem:
Auswahl von allem:
Will ich: Naxsi
Will ich: ssh nur mit Key, oder auch ohne
Will ich: Firewall/Kernel/System - dann würde das ganze auch für eine VPS gehen.
usw. usw. alles aus/abwählen können.

Nächster Vorschlag ist natürlich: PHP7 - oder php5 und php7 gleichzeitig.

Zudem eine Frage, warum installierst du alles von Hand? warum nicht aus irgendwelchen Quellen? Dann wäre vllt alles Updatebar - aber du bekommst das schon hin mit dem Updater.

Noch etwas, GeoIP im Webbrowser- Sperren von Ländern - RU usw. wäre nett

und zum Schluss: den neuesten Apache hinter dem nginx? Da der Apache vllt nicht schnell ist aber für einige CMSs mit mpm_events und php-fpm vllt doch die bessere Wahl(htaccess) ist.

Grüß dich TiggaStyle,

Naxsi ist ja standardmäßig im Lernmodus und macht nichts, außer ein Logfile schreiben. Man kann Naxsi aber auch einfach deaktivieren, indem man den entsprechenden Teil in der Config kommentiert/löscht - aber ja, das lässt sich durch eine weitere Ja/Nein Option in der Config. Naxsi ist richtig konfiguriert eine richtig feine Sache.

Was den SSH Login angeht, so lasse ich das definitiv so wie es ist. Diejenigen die wirklich wissen was sie tun, können das am Ende ja wieder rückgängig machen - der Rest nutzt das Public Key Verfahren.

Die Idee mit der Firewall Ja/Nein Abfrage kam mir auch schon in den Sinn, allerdings gibt es auch VPS die den Compiler nicht nutzen können, weil dort die entsprechende Kernelfunktion deaktiviert worden ist. Es gibt einfach keine vernünftigen Argumente, wieso man nicht einfach KVM-basierte Server zurückgreifen kann. Die Kosten unterscheiden sich minimal, umso besser ist dann allerdings die Kompatabilität. Ich werde das Skript demnach in Zukunft auch ausschließlich nach den Möglichkeiten und Funktionen vollvirtualisierter Server richten.

An PHP7 bin ich dran, allerdings wird das dann eher HHVM und als Option PHP7 / PHP5 sein.

Das GeoIP-Modul ist meiner Meinung nach kein "Must-have"-Feature, das mann unbedingt haben sollte. Ich kann das Modul gerne mit reinnehmen, damit Nginx damit kompiliert wird. Dann kann jeder Nutzer selbständig entscheiden ob er irgendwelche Länder blockieren möchte oder nicht.

Apache ist auch mit dem mpm_event bzw mpm prefork langsamer als Nginx, das wäre kein Argument

Selbst wenn man Apache tunen wurde, hast du immer noch die Skalierbarkeit und die Performance dahinter. Auch wenn Nginx nur statisch liefert und alles andere an PHP-FPM übergibt, ist die Performance viel besser. Nginx als Reverse Proxy macht nur Sinn, wenn sich beide Webserver nicht auf ein und dem selben Host befinden. Htaccess ist benutzerfreundlicher, da gebe ich dir Recht, allerdings war das nie Ziel des Skrptes. Ich möchte ja gar nicht alles Mögliche an Software installieren, sondern lediglich eine vernünftige Basis für einen optimalen Start bieten. Die Sache ist ja, wenn jemand gerne so vieles möchte, aber nichts davon selber machen kann, dann bringt ihm das Skript ja auch nicht viel - selbst wenn alles mögliche an Software und Systemen vorinstalliert und -konfiguriert wird. Aber gut ich schweife ab, du merkst was ich damit sagen möchte.. wenn jemand spezielle Wünsche hat, die über eine "Basisinstallation" hinaus gehen, der kann sich gerne selbständig mit dem Thema beschäftigen.

Das Update wird noch etwas dauern, da ich momentan im Lernstress bin und kaum Zeit finde mich um das Skript zu kümmern :-/

Bis dahin bitte ich um etwas Geduld..

Viele Grüße!

TiggaStyle · 01/21/2016, 09:26

Oh Supi

Direkt ne Antwort

Naxi top.
SSH - ja bleibt jedem überlassen.
VPS - ja liegt immer an der VPS - garantie gibts nirgends.
HHVM oder PHP7 - top.
GEOIP - wäre echt top.
Apache - bleibt dann wohl jedem selbst überlassen, auch gut.

Lernstress - Januar ist Prüfungszeit - hat ja alles noch Zeit Andyyy mit seiner Mailcow is auch noch nicht fertig.

Danke Viele Grüße.

mxiiii · 01/22/2016, 08:56

@TiggaStyle

Ich denke auch das das Script nicht zu sehr aufgebläht werden sollte, es ist ein erster Schritt einen Mail/Web Server benutzerfreundlich und sicher aufzusetzen. Zumal man sich wirklich überlegen muss, was man alles an Zusatzsoftware auf einem MailServer laufen lässt. ...safety first

LG
MXIIII

@Zypr

Konntest du schon einen Blick auf mein Problem mit AWSTATS werfen ?

Zypr · 01/22/2016, 21:44

Quote:

Originally Posted by mxiiii

@TiggaStyle

Ich denke auch das das Script nicht zu sehr aufgebläht werden sollte, es ist ein erster Schritt einen Mail/Web Server benutzerfreundlich und sicher aufzusetzen. Zumal man sich wirklich überlegen muss, was man alles an Zusatzsoftware auf einem MailServer laufen lässt. ...safety first

LG
MXIIII

@Zypr

Konntest du schon einen Blick auf mein Problem mit AWSTATS werfen ?

Grüß dich mxiii,

ich habe mir das schon mal angeschaut, kam allerdings auch nicht all zu weit. Ich bin das Wochenede über zu Hause und wollte sowieso mal wieder an dem Skript arbeiten, dann schau ich mir auch dein Problem an. Ggf. finde ich dazu eine Lösung, da ich mich selbst dafür interessiere. ;D

Bis dahin auf jeden Fall ein schönes Wochenende!

Viele Grüße
Zypr

Axiades · 01/23/2016, 02:37

Huhu

Habe ein kleines Problem.. unzwar lädt der Nginx Webserver die Index.html, index.php oder index.xhtml datein nicht mehr automatisch beim aufruf der domain..

Bitte um Hilfe.

LG

asjoker · 01/23/2016, 18:51

Quote:

Originally Posted by Axiades

Huhu

Habe ein kleines Problem.. unzwar lädt der Nginx Webserver die Index.html, index.php oder index.xhtml datein nicht mehr automatisch beim aufruf der domain..

LG

Hallo Axiades,

ein paar infos mehr wären Cool

schon irgendwas auf dem Webserver installiert?
Dateien im richtigen ordner?
Ngnix am laufen?
Log?

Gruß ASJoker

alg0r!thm · 01/23/2016, 22:37

Hallo, habe dein Skript zwar nicht genutzt dennoch solltest du mir bei meinem Problem behiflich sein können, denke ich. Undzwar bin ich seit kurzem von einem selbstsignierten Zertifikat, auf ein Let's Encrypt Zertifikat umgestiegen. Mit nginx (Webserver) läuft alles perfekt er akzeptiert das neue Zertifikat einwandfrei, aber mein Mailserver (dovecot, roundcube, vimbadmin) kommt mit dem Umstieg irgendwie nicht klar. Ich habe lediglich in den .conf Dateien die Einträge wo die neuen Let's Encrypt Zertifikate zufinden sind abgeändert. Dennoch erhalte ich nach erfolgreichem neustart aller Dienste bei Roundcube, während des Logins, die Fehlermeldung: Verbindung zum Speicherserver fehlgeschlagen. Die log-Dateien sagen zu jenem Problem folgenden.

Axiades · 01/24/2016, 02:50

Quote:

Originally Posted by asjoker

Hallo Axiades,

ein paar infos mehr wären Cool
schon irgendwas auf dem Webserver installiert?
Dateien im richtigen ordner?
Ngnix am laufen?
Log?

Gruß ASJoker

Habe cgi.fix_pathinfo auf 1 gesetzt.

Und meine Domain Config sieht in so Aus

Spoiler

Code:

server {
			listen 				80 default_server;
			server_name 		domain.tld;
			return 301 			https://domain.tld$request_uri;
}

server {
			listen 				443;
			server_name 		www.domain.tld mail.domain.tld;
			return 301 			https://domain.tld$request_uri;
}

server {
			listen 				443 ssl http2 default deferred;
			server_name 		domain.tld;

			root 				/etc/nginx/html;
			index 				index.php index.html index.htm;

			charset 			utf-8;

			error_page 404 		/index.php;

			ssl_certificate 	ssl/ssl.pem;
			ssl_certificate_key ssl/ssl.key.pem;
			ssl_trusted_certificate ssl/ssl.pem;
			ssl_dhparam	     	ssl/dh.pem;
			ssl_ecdh_curve		secp384r1;
			ssl_session_cache   shared:SSL:10m;
			ssl_session_timeout 10m;
			ssl_session_tickets off;
			ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
			ssl_prefer_server_ciphers on;
			ssl_buffer_size 	1400;

			ssl_stapling 		on;
			ssl_stapling_verify on;
			resolver 			8.8.8.8 8.8.4.4 208.67.222.222 208.67.220.220 valid=60s;
			resolver_timeout 	2s;

			ssl_ciphers 		"ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK";

			add_header 			Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
			#add_header 		Public-Key-Pins 'pin-sha256="PIN1"; pin-sha256="PIN2"; max-age=5184000; includeSubDomains';
			add_header 			Cache-Control "public";
			add_header 			X-Frame-Options SAMEORIGIN;
			add_header 			Alternate-Protocol  443:npn-http/2;
			add_header 			X-Content-Type-Options nosniff;
			add_header 			X-XSS-Protection "1; mode=block";
			add_header 			X-Permitted-Cross-Domain-Policies "master-only";
			add_header 			"X-UA-Compatible" "IE=Edge";
			add_header 			"Access-Control-Allow-Origin" "*";
			add_header 			Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval' *.youtube.com maps.gstatic.com *.googleapis.com *.google-analytics.com cdnjs.cloudflare.com assets.zendesk.com connect.facebook.net; frame-src 'self' *.youtube.com assets.zendesk.com *.facebook.com s-static.ak.facebook.com tautt.zendesk.com; object-src 'self'";

			pagespeed 			on;
			pagespeed 			EnableFilters collapse_whitespace;
			pagespeed 			EnableFilters canonicalize_javascript_libraries;
			pagespeed 			EnableFilters combine_css;
			pagespeed 			EnableFilters combine_javascript;
			pagespeed 			EnableFilters elide_attributes;
			pagespeed 			EnableFilters extend_cache;
			pagespeed 			EnableFilters flatten_css_imports;
			pagespeed 			EnableFilters lazyload_images;
			pagespeed 			EnableFilters rewrite_javascript;
			pagespeed 			EnableFilters rewrite_images;
			pagespeed 			EnableFilters insert_dns_prefetch;
			pagespeed 			EnableFilters prioritize_critical_css;

			pagespeed 			FetchHttps enable,allow_self_signed;
			pagespeed 			FileCachePath /var/lib/nginx/nps_cache;
			pagespeed 			RewriteLevel CoreFilters;
			pagespeed 			CssFlattenMaxBytes 5120;
			pagespeed 			LogDir /var/log/pagespeed;
			pagespeed 			EnableCachePurge on;
			pagespeed 			PurgeMethod PURGE;
			pagespeed 			DownstreamCachePurgeMethod PURGE;
			pagespeed 			DownstreamCachePurgeLocationPrefix http://127.0.0.1:80/;
			pagespeed 			DownstreamCacheRewrittenPercentageThreshold 95;
			pagespeed 			LazyloadImagesAfterOnload on;
			pagespeed 			LazyloadImagesBlankUrl "data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7";

			pagespeed 			MemcachedThreads 1;
			pagespeed 			MemcachedServers "localhost:11211";
			pagespeed 			MemcachedTimeoutUs 100000;
			pagespeed 			RespectVary on;

			pagespeed 			Disallow "/pma/*";


			# This will correctly rewrite your subresources with https:// URLs and thus avoid mixed content warnings.
			# Note, that you should only enable this option if you are behind a load-balancer that will set this header,
			# otherwise your users will be able to set the protocol PageSpeed uses to interpret the request.
			#
			#pagespeed 			RespectXForwardedProto on;

			auth_basic_user_file htpasswd/.htpasswd;

			location ~ \.php$ {
				fastcgi_split_path_info ^(.+\.php)(/.+)$;
				if (!-e $document_root$fastcgi_script_name) {
					return 404;
			  	}
				try_files $fastcgi_script_name =404;
				fastcgi_param PATH_INFO $fastcgi_path_info;
				fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
				fastcgi_param APP_ENV production;
				fastcgi_pass unix:/var/run/php5-fpm.sock;
				fastcgi_index index.php;
				include fastcgi.conf;
				fastcgi_intercept_errors off;
				fastcgi_ignore_client_abort off;
				fastcgi_buffers 256 16k;
				fastcgi_buffer_size 128k;
				fastcgi_connect_timeout 3s;
				fastcgi_send_timeout 120s;
				fastcgi_read_timeout 120s;
				fastcgi_busy_buffers_size 256k;
				fastcgi_temp_file_write_size 256k;
			}

			location / {
				index index.php;
				try_files $uri $uri/ /index.php?$uri&$args;
			}

			location ~* (?:\.(?:bak|conf|dist|fla|in[ci]|log|psd|sh|sql|sw[op])|~)$ {
			    deny all;
			    access_log off;
				log_not_found off;
			}

			location = /favicon.ico {
				access_log off;
				log_not_found off;
			}
				
			location = /robots.txt {
				allow all;
				access_log off;
				log_not_found off;
			}

			location ~* ^.+\.(css|js)$ {
				rewrite ^(.+)\.(\d+)\.(css|js)$ $1.$3 last;
				expires 30d;
				access_log off;
				log_not_found off;
				add_header Pragma public;
				add_header Cache-Control "max-age=2592000, public";
			}

			location ~* \.(asf|asx|wax|wmv|wmx|avi|bmp|class|divx|doc|docx|eot|exe|gif|gz|gzip|ico|jpg|jpeg|jpe|mdb|mid|midi|mov|qt|mp3|m4a|mp4|m4v|mpeg|mpg|mpe|mpp|odb|odc|odf|odg|odp|ods|odt|ogg|ogv|otf|pdf|png|pot|pps|ppt|pptx|ra|ram|svg|svgz|swf|tar|t?gz|tif|tiff|ttf|wav|webm|wma|woff|wri|xla|xls|xlsx|xlt|xlw|zip)$ {
				expires 30d;
				access_log off;
				log_not_found off;
				add_header Pragma public;
				add_header Cache-Control "max-age=2592000, public";
			}

			if ($http_user_agent ~* "FeedDemon|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlDaddy|CoolpadWebkit|Java|Feedly|UniversalFeedParser|ApacheBench|Microsoft URL Control|Swiftbot|ZmEu|oBot|jaunty|Python-urllib|lightDeckReports Bot|YYSpider|DigExt|YisouSpider|HttpClient|MJ12bot|heritrix|EasouSpider|Ezooms|Scrapy") {
            	return 403;
            }
}

Die Logs Spuckt er mir garnicht erst aus bzw die sehen normal aus..

LG Tojo alia. Axia

Tulskie · 01/24/2016, 11:11

Moin moin zusammen,
bei meinem alten Server konnte ich mit einer .htaccess datei direkt den Pfad weiterleiten um mein Forum aufzurufen.
Das sah dann so aus:

Spoiler

Nun habe ich das mit dem neuen Server probiert, aber Fehlanzeige.
Muss da an der Config noch was angepasst werden oder ist es garnicht mehr möglich?

Axiades · 01/24/2016, 16:34

Quote:

Originally Posted by Tulskie

Moin moin zusammen,
bei meinem alten Server konnte ich mit einer .htaccess datei direkt den Pfad weiterleiten um mein Forum aufzurufen.
Das sah dann so aus:

Spoiler

RewriteEngine On
RewriteRule .* [R=permanent]

Nun habe ich das mit dem neuen Server probiert, aber Fehlanzeige.
Muss da an der Config noch was angepasst werden oder ist es garnicht mehr möglich?

Hei,

Kleine Info.
Wenn du dass Script von Zypr nutzt den hast du keinen Apache Webserver sondern einen Nginx Webserver. und Nginx Kennt die .htaccess datein nicht.. daher musst du diese umwandeln in die Nginx Config und in die Vhosts eintragen ..

Code:

server {
			listen 				80 default_server;
			server_name 		ip domain.tld;
			return 301 			https://domain.tld/forum$request_uri;
}

So z.b. müsste dass funktionieren wenn ich falsch liege versuch mal bei Google und Google nach htaccess to Nginx converter ..

LG Axia

//Edit

Wass genau muss ich Ändern um den SSH Login auf Normal umzustellen.?

bzw. ist es möglich einen Reinen FTP Login zu erstellen der keinerlei SSH Rechte hat ?

~~R3DC0DE~~ · 01/30/2016, 11:10

Was ist eigentlich mit Mysql und php5, muss ich das noch selber installieren?

und bei lets encrypt, gibts da ein script wo man das nicht mehr immer per hand machen muss? z.b. nginx reloaden und dabei renewed sich das ssl