Beiträge von samci

    Schön schön... aber eine Wertung zu meiner Lösung ist das nicht, oder? Weil, anscheinend gehts wohl auch mit SysCP-Modifikation nicht so ohne weiteres besser... ???
    Also ich finde meinen Weg auch jetzt gar nicht so schlecht... oder habe ich da auch doch irgend ne Sicherheitslücke aufgetan?


    Ist halt schade, daß sowas nicht irgendwo in einer grundsätzlichen Einleitung steht. Ist doch existenziell für eine reguläre Nutzung des Images (oder seiner Updates :P )

    So, es war natürlich mal wieder alles ganz anders.
    Auch in anderen Programmen hatte ich nun Fehlermeldungen beim Versuch, Dateien hochzuladen.


    Der Sache bin ich aber dann doch auf den Grund gekommen; es hatte nichts mit den Besitzrechten zu tun, denn die hatte ich auch mal geändert.


    Der Grund war irgendwo in der Definition des temporären Upload-Verzeichnisses von PHP. SysCP gibt zwar irgendwie (wie in den "Einstellungen" eingestellt) das Verzeichnis "/tmp/" als Ausnahme von "Open_BaseDir" an, aber anscheinend wird das gar nicht von PHP für temporäre Uploads benutzt. Ob bis dahin überhaupt irgendein Verzeichnis dafür benutzt wurde, weiß ich nicht, aber jedenfalls habe ich dann in der php.ini "upload_tmp_dir = /tmp/" eingetragen, den vServer neugestartet (ging schneller als erst den Befehl für Apache Reload oder so genau rauszufinden), und damit ging es.
    "safe_mode_include_dir = /tmp/" mußte ich in der php.ini nicht einstellen, da ja wie gesagt SysCP das irgendwie auf einem anderen Weg veranlaßt.


    Scheint ganz so, als ob nun mein vServer einen vertretbaren Sicherheitsstandard erreicht hat und dazu auch noch richtig funktioniert (abgesehen vom nicht funktionierenden IMAP, das aber wohl lt. SysCP-Konfigurationsangaben zum Laufen gebracht werden könnte...).


    Wer hätte das in letzter Zeit noch wirklich gedacht... ;)


    Grüße
    samci

    Die Sache mit timezone kann man sich übrigens schenken, RoundCube geht trotzdem problemlos, mir ist auch noch kein Zeitstempel-Fehler aufgefallen.
    in der config (php) einfach als timezone "1" einstellen, schadet jedenfalls mal nicht, auch wenn ich noch nicht herausgefunden habe, ob man das tatsächlich braucht.
    Aber ich denk mal das Thema war hier sowieso bereits erledigt... ?

    Also dann schließe ich jetzt mal aus der Antwort, daß sich die Sicherheit nun doch langsam auf den vertretbaren Bereich zubewegt und daß SysCP tatsächlich möglicherweise voll verwendbar ist, ohne weitere Anpassungen vorzunehmen... in dem Fall hats ja gar nicht so arg weh getan... ... - ???


    Ich würde nun noch folgende Schritte antesten:


    - root-Benutzer ersetzen (auch wenn das manche netcup-Leute nicht mal selbst machen :P ),
    - Serversignatur ist sowieso schon lange auf "Off",
    - bei allen Zugängen ist bereits open_basedir auf "ja",
    - DirectoryIndex war glaub ich standardmäßig sowieso aus,
    - SSH-Login-Sperre bei Fehlversuchen ist mir allerdings fürs Erste noch etwas zu schlecht abschätzbar, was den Installationsaufwand bzw. die erforderlichen Kenntnisse angeht. Oder wird die lebenswichtigst empfohlen? Hat doch vermutlich auch von den Profis nicht jeder, oder?


    Wie vermutlich an der bunten Mischung unschwer erkennbar ist, habe ich mich durchaus schon ein wenig eingearbeitet, aber dabei nur einen winzigen Bruchteil dessen gestreift, was man auf Dauer vermutlich so alles wissen sollte.
    Vielleicht trägt es ja dazu bei, eine gewisse Vorstellung von meinen Vorkenntnissen zu vermitteln.


    Habe ich jetzt was ganz Lebenswichtiges (auch in finanzieller Hinsicht) übersehen?




    Nachtrag:
    Da war ich wohl doch etwas voreilig, die Sache mit den Cronjobs war beim Update zerschossen worden. Ein paar neue Subdomains und eine Domainpfad-Änderung wurden z.B. nicht übernommen.
    So wie es in http://forum.netcup.de/showthread.php?t=805 beschrieben wird, habe ich das jetzt auch gemacht und den Fehler damit anscheinend erfolgreich behoben. Mal schaun was als nächstes schiefläuft...




    Nachtrag 2 (06.09.2009):
    Scheint als ob man für IMAP noch was nachinstallieren muß... doof.
    Steht so auch in der SysCP-Anweisung für die Konfiguration.
    Also prinzipiell läuft jetzt mit den 3 Update-Befehlen und der manuellen Anpassung von /etc/cron.d/syscp alles ganz ordentlich, und neue Benutzer, Domains und Subdomains funktionieren, und Open_Basedir ist auch jeweils korrekt eingestellt.


    Hab jetzt die Root-Paßwörter erstmal deutlich verlängert, ich denke mal jetzt müßte es deutlich sicherer geworden sein.


    ???




    Nachtrag 3 (09.09.2009):
    Stimmt, der Dateiupload ging ja auch nicht... aber hab ne Lösung gefunden, siehe hier:
    http://forum.netcup.de/showthread.php?p=5756#post5756




    Grüße
    samci

    Also ich hab jetzt mal die 3 Befehle abgetoppt, und jetzt ist SysCP auf dem Stand 1.4.2.1 und funktioniert im Großen und Ganzen, jedenfalls ist mir noch kein Mangel aufgefallen auf die Schnelle.
    Wenigstens kann ich aber (lt. Menü) jetzt auch Imap-Mailkonten anlegen, das war vorher ein bißchen dämlich. RoundCube sollte damit also jetzt auch nutzbar sein.
    Bevor ich das Gleiche mit dem 2. Server mache, schaue ich aber erstmal, was so alles noch dabei rauskommt.


    Komischerweise ist scheinbar die "Haupt"-Subdomain, vXXXXX.yourvserver.net, nicht erreichbar (war sie schon vorher nicht), also auch SysCP ist nur mit IP-Adresse erreichbar. Ich meine mich zu erinnern, daß das anfangs anders war - aber egal.


    Ist das jetzt schon ein echter Schritt in Richtung Sicherheit gewesen? Ist ja immer noch Etch drauf.


    Grüße
    samci

    OK ich geb zu, diesen Beitrag hatte ich vielleicht nicht ganz genau gelesen... das hört sich jetzt an, als ob man mit sehr wenigen Befehlen ein Update oder Upgrade auf einen einigermaßen sicheren Stand machen kann; aber überall sonst ist halt immer zu lesen, daß Konfigurationsanpassungen nötig sind, und ich war eigentlich davon ausgegangen, daß auch SysCP nur in der aktuellen Version (also nicht 1.2.X.X, sondern 1.4.2.1 oder vielleicht mittlerweile schon höher) einigermaßen sicher ist.
    Mein Problem ist wirklich nicht, 3 Befehle abzutippen, sondern vielmehr, vielleicht am Ende doch irgendeinen Sonderfall vorzufinden, der dazu führt, daß ich wieder diverse Leute um Hilfe anbetteln muß, weil irgendein Kochrezept halt doch nicht funktioniert hat.


    Aber ihr habt mich bald so weit, daß ich einen der beiden vServer mal versuche upzugraden :P
    Vielleicht ist es ja wirklich gar nicht so schlimm ;)


    Trotz alledem wäre ich wirklich dankbar, wenn mal jemand hier eine ungefähre Terminschätzung für die vollständige Wiki-Anleitung zum vServer-Update (oder auch zum neuen SysCP-Image) ablassen würde. Damit ich nicht wieder viel Zeit investiere, die ich mir vielleicht ein paar Tage später hätte teilweise sparen können.


    Grüße (und nicht so feste zuschlagen!)


    samci

    OK, also da ich diese Tage keine Zeit habe, habe ich nun mal die vServer gestoppt. Ich hoffe ja immer noch, daß es nun nicht mehr lange dauert...
    Eigentlich wollte ich gerade heute abend einen ersten zahlenden Kunden mit einem Programmzugang versorgen, aber naja... zum Glück läuft ein Wettbewerber-vServer-Vertrag noch einige Tage, bei dem die Software aktueller ist.


    Ist denn eigentlich SysCP ein wesentlicher Risikofaktor, bzw. würde es auch schon viel helfen, mit 2-3 Befehlen Etch zu updaten?


    Grüße
    samci

    Ich glaube ich sollte dazu mal etwas weiter ausholen.


    Ich hatte bei Strato entdeckt, daß es ein etwas größeres Paket als mein aktuelles etwas günstiger gibt. Dann im Support-Chat erzählt bekommen, daß es bei einem Wechsel ohne Gebühren klappen würde. Dann den Wechsel beantragt, wobei auf dem Formular stand (sinngemäß): Bei einem Downgrade auf ein xxx-Paket (davon gab es mehrere Größen, eins davon wollte ich haben, und das war definitiv größer als mein altes, hatte nur eine Inklusivdomain weniger) fallen knapp 20 Euro Wechselgebühr an.
    Da ich ja bereits die Zusage hatte, daß ich keine Wechselgebühren zahlen muß, ging ich davon aus, daß nicht mit der Formulierung generell jedes xxx-Paket gemeint war, sondern eben nur die, die kleiner sind als das vorherige.
    Dann kam die Bestätigungsmail mit der Überschrift "Ihr Downgrade..." - und ich wußte: Strato und 1&1 sind nicht sonderlich verschieden!
    Also nochmal eine Auskunft per Mail einzuholen versucht, die lautete aber: Wir können momentan nicht feststellen, ob Wechselgebühren anfallen.
    Kam mir dann irgendwie vor wie in alten Zeiten, bevor und während ich bei 1&1 im Zuge der Kündigung 300 Euro verloren hatte...
    Jedenfalls gleich zurückgemailt, ich widerrufe den Paketwechsel, da mir das alles irgendwie bekannt vorkommt, und möchte innerhalb 1 oder 2 Tage eine Bestätigung, sonst geht die Sache möglicherweise aufgrund früherer Erfahrungen unmittelbar zum Anwalt. Die Bestätigung kam dann auch sehr schnell, und ich zahle seitdem weiter brav die höheren Kosten des alten Pakets - allerdings habe ich dann sofort angefangen, mich nach seriösen Anbietern umzuschauen, die übrigens ein Bekannter von mir, von Beruf Anwalt, für nicht existent hält ;)


    Nach einer Weile fand ich einen Anbieter mit nicht viel höheren Preisen als hier, der die Sache nebenbei betreibt, und der empfahl mir einen vServer, mit recht aktueller Software und Image-Auswahlmenü. SysCP wurde für mein Paket ausdrücklich empfohlen. Und lief nicht, wie ich nach ca. 10-20 verlorenen Stunden endlich festsellen mußte und auch bestätigt bekam. Glücklicherweise klappte dann auch etwas mit dem getrennt bestellten Webspace nicht, und ich habe in letzter Stunde dann alles storniert (wobei der vServer monatlich kündbar ist und keine Einrichtungsgebühren verlangt werden - aber ich habe lieber einen Anbieter, der davon leben muß und bei dem die zugesagten Leistungen auch vorhanden sind, als einen noch flexibleren, bei dem man am Ende mehr Zeit verliert, als man in Geld gerechnet bei einem teuren Anbieter mit Mindestlaufzeit investiert hätte). Ich hatte gerade noch rechtzeitig netcup entdeckt; ein anderer ähnlich günstiger Anbieter mit angeblich ähnlichem Anspruch reagierte gleich gar nicht auf Anfragen.


    So, natürlich habe ich auch danach noch weitere Zeit in die vServer-Sache gesteckt, aber bin zu dem Schluß gekommen, daß ich das jetzt ganz dringend begrenzen muß, damit ich nicht andere Projekte noch weiter verschleppe; beispielsweise möchte mir ein befreundeter Betrieb Prototyp-Teile mit 4stelligem Wert gratis herstellen, dem ich bis jetzt noch nicht mal alle Einzelteilzeichnungen gliefert habe - und viel ist das mittlerweile wirklich nicht mehr, was noch fehlt. Dazu gibt es noch einige weitere Projekte, die ich gern schon vor einem Jahr weiter gebracht hätte, als sie jetzt stehen.


    Ich habe mir den vServer also nicht aus Langeweile oder um in Übung zu bleiben zugelegt, sondern um einfach eine noch akzeptablere Rechengeschwindigkeit für eine bislang kostenlos nutzbare Online-Software zu bekommen. Es geht hier etwa um einen Geschwindigkeitsfaktor von 2 bis 3 gegenüber ordentlichem Webspace, und langfristig kann das die am wenigsten rufschädigende Überleitung zu einem kostenpflichtigen Angebot werden. Sonst brauche ich den vServer momentan, zumindest dringend, für gar nix. Und die Kundschaft, die die erwähnte Online-Software von mir nutzt, hat i.d.R. mit Web-Sachen rein gar nix am Hut, oder ist ansonsten in aller Regel sehr solide und ohne irgendwelche Hacker-Anwandlungen. Und wenn doch jemand von denen was stehlen sollte, wird das zumindest in dieser Marktnische sehr schnell bekannt.


    Daß ein vServer gewisse Sicherheitsstandards erfüllen muß, sehe ich ja ein, aber ich ziehe mit der Hauptnutzung eben keine Freaks an. Und viel Geld ist da auch langfristig nicht zu holen.


    Soweit mal. Bei mir gibts halt noch andere Sachen im Leben, als den vServer. Und besonders dringend ist es auch nicht, nur ein halbes Jahr sollte es halt nicht mehr dauern, bis dort ohne nennenswerten Aufwand vertretbare Sicherheitsstandards erreichbar sind. Immerhin wird das SysCP-Image ja als handfestes Verkaufsargument benutzt, und ist in der momentanen genauen Ausführung zugleich ein handfestes Killerargument in den Händen der Wettbewerber ;)


    Ich hoffe, es wurde einigermaßen klar, daß ich nicht generell lernunwillig bin, sondern einfach meine Verluste begrenzen muß. Wen es interessiert, der kann ja mal per PN nach dem Zugangslink zur erwähnten Software fragen, war mein erstes PHP-, Javascript- und SVG-Projekt (Firefox erforderlich).


    Grüße
    samci

    Ein Update ist mit manuellen Konfigurationsanpassungen verbunden, soweit ich mitbekommen habe, und da der Serverinhalt noch nirgends offiziell verlinkt ist, warte ich noch etwas. Aber wenn wir uns hier weiter zanken, lenken wir das netcup-Team nur unnötig von der unentwegten, 24stündlichen Arbeit am aktuellen Image ab ;)
    Kann natürlich gut sein, daß ich es mal selbst probiere, wenn in 1-2 Wochen noch immer nix im Angebot ist. Wäre halt schade um die Zeit, da schon der erste Anbieter, der mich überhaupt auf einen vServer gebracht hatte, mich aufgrund fehlerhafter Software schon sehr viel Zeit gekostet hatte - zig Stunden Probiererei, und am Ende war einfach das SysCP-Image zwar aktuell, aber nicht lauffähig. Daher bin ich mittlerweile etwas skeptisch, was meine Probierbereitschaft angeht.

    Ein wesentliches Hemmnis bei der Roundcube-Installation war bei mir die Einstellung zu "date.timezone".
    Abhilfe: http://self-qs.de/m3WDB/Date.timezone
    Der Rest war eigentlich noch einigermaßen hinzukriegen (für jemanden, der ansonsten noch kaum Software mit Datenbankverwendung eingerichtet hat), die Datenbank wird mit einer Datei initialisiert (indem man diese unter phpmyadmin importiert), die im Verzeichnis SQL mitgeliefert wird, sie heißt irgendwas mit initial.sql oder so.


    Vielleicht hilfts ja, Roundcube scheint ja schon ganz brauchbar zu sein.


    Grüße
    samci


    P.S.: Im Anwendungsfall kannst Du meine Kontonummer gern per Mail erfragen ;)

    Klar habe ich auch einige Einstellungen schon selbst vorgenommen, es wird ja serienmäßig nicht mal die deutsche Sprache im Webserver unterstützt ;)
    Aber wozu arbeitet netcup dann an einem aktuellen Image, wenn die Verwendung eines solchen mit dem Ausstoß aus der Gesellschaft bestraft wird? ;)

    Weil ich noch nicht viel auf dem Server liegen habe,
    weil ich nicht allzu viel Ahnung von der Sache habe,
    weil ich bei einem anderen Anbieter schon schlechte Erfahrungen mit manuellen Eingriffen gemacht habe,
    weil noch keine in sich geschlossene Update-Anleitung im Wiki veröffentlicht ist,
    weil es wohl immer noch schneller geht als ein Update,
    weil das neue Image ja demnächst wohl endlich erscheinen soll.


    Reichen die Gründe?

    OK, ich probiere es halt mal. Wenn es bei Dir generell so ging, kann es ja eigentlich nur diese Einstellung gewesen sein, ich denke ja nicht daß WinSCP irgendwelche weiteren Eigenschaften einfach unterschlägt. Mit SSH habe ich noch nicht viel ohne Hilfe hinbekommen (hatte fast noch nie mit Linux zu tun), daher probiere ich es zuerst mit WinSCP.
    Danke auf jeden Fall soweit schonmal.


    samci

    Sehe ich das richtig, daß "u+s" z.B. dem "setze UID" im Eigenschaftsfenster für Dateien und Verzeichnisse von WinSCP entspricht?



    Dann müßte es doch eigentlich auch problemlos gehen, einen beliebigen Benutzer und eine beliebige Gruppe dem obersten Benutzerordner zuzuordnen und mit gesetztem u+s, g+s dafür zu sorgen, daß sämtliche darunter angelegten Sachen die gleichen Werte bekommen, egal ob nun der oberste Benutzerordner per FTP angelegt wurde oder nicht; bzw. wenn er z.B. mit FTP angelegt wurde, wäre doch mit dem Setzen von u+s, g+s bereits alles erledigt, oder habe ich da jetzt was falsch verstanden?


    Bin gerade nicht an meinem eigenen Rechner, daher kann ich das erst später selbst testen.


    ??


    Grüße
    samci

    Hallo,


    nun habe ich mich mal hier im Forum angemeldet, damit der Support nicht am Ende noch zusammenbricht ;)


    Eine Frage zur Einrichtung von "Dateibesitzern": Mir ist aufgefallen, daß ich bei einem datenbanklosen CMS keine Bilder auf den vServer hochladen konnte, auf meinem netcup-Webspace geht das allerdings. Der einzige Unterschied, den ich feststellen konnte, war der, daß auf dem Webspace der FTP-Benutzer und der www-Benutzer dieselbe Nummer haben, also aus Sicht des Servers wohl identisch sind, und auf dem vServer eben nicht (der FTP-Benutzer hat einen Benutzernamen entsprechend dem unter SysCP eingerichteten FTP-Account, der www-Benutzer hat nur ein Fragezeichen in Klammern, obwohl in der Apache-Konfiguration als Benutzername "www-data" etc. voreingestellt ist; diese Angaben beziehen sich auf Filezilla als FTP-Programm. In WinSCP mit root-Zugang ist natürlich kein Fragezeichen zu sehen ;)


    So, nun zur Frage: Kann ich die Serverkonfiguration so ändern, daß wenigstens statt dem Fragezeichen im FTP-Programm beim Besitzer ein Name (z.B. www-data) oder eine Zahl auftaucht (und wenn ja, dann wie?), oder besser noch, wie kann ich auch den vServer so konfigurieren, daß er FTP- und www-Benutzer gleichsetzt?


    Bin mit Serversachen nicht so bewandert, bisher reichts nicht für viel mehr als die allerdringendsten Einstellungen und für eine XAMPP-Umgebung für lokale Tests. Daher schonmal vielen Dank im Voraus für Hilfestellungen.


    Grüße
    samci